|
Definição:
Antes de mais nada, e' preciso dizer que praticamente qualquer coisa de errado que acontece com um computador durante uma
sessão de trabalho e' atribuída a um vírus, independente da causa estar no programa ou na falta de experiência do
usuário. De acordo com uma pesquisa da PC Magazine, 50 % dos prejuízos em software
são culpa de mal uso ou inexperiência. Qualquer um que atualize o software sabe os problemas de reaprender a mexer com novos
botões de salvamento de trabalho ou teclas de saída e apagamento que colidem com o uso antigo de outro software. O
usuário inexperiente destrói muito mais dados do que qualquer vírus.Mesmo programas bem desenvolvidos tem defeitos que destroem o trabalho por conta de alguma falha no lançamento. Normalmente
são as versões X.0. Qualquer pessoa
que utilize um software recem-lancado (normalmente numero ponto zero) se arrisca a ter dores de
cabeça que não serão culpa de vírus de computador e que ninguém saberá' como resolver. A
versão 5.01 de qualquer programa e'quase sempre a versão com correção dos erros encontrados na
versão 5.0.
Um vírus de computador e' um programa que pode infectar outro programa de computador
através da modificação dele de forma a incluir uma copia de si mesmo (de acordo com Fred Cohen, autor de "A Short Course on Computer Viruses"). A
denominação de programa-virus vem de uma analogia com o vírus biológico, que transforma a
célula numa fabrica de copias dele.Para o publico em geral qualquer programa que
apague dados, ou atrapalhe o trabalho pode levar a denominação de vírus. Do ponto de vista de um
programador, o vírus de computador e' algo bastante interessante. Pode ser descrito como uma programa altamente sofisticado, capaz de tomar decisões automaticamente, funcionar em diferentes tipos
de computador, e apresentar um índice mínimo de problemas ou
mal-funcionamento. Stephen Hawking se referiu ao vírus de computador como a primeira forma de vida
construída pelo homem. De fato: o vírus e' capaz de se reproduzir sem a interferência do homem e
também de garantir sozinho sua sobrevivência. Como a auto-reproducao e a manutenção
da vida são para alguns cientistas, o básico para um organismo ser descrito como vivo. O
vírus Stoned e' um exemplo que resiste ate' hoje, anos depois da sua criação.
Sendo o vírus um programa de computador sofisticado, ainda que use técnicas
de inteligência artificial, ele obedece a um conjunto de instruções contidas no seu
código.
Portanto e' possível se prevenir contra seu funcionamento, conhecendo seus
hábitos.
--------------------------------------------------------------------------------------------------------
Bomba Lógica e Cavalo de Troia
O cavalo-de-troia se assemelha mais a um artefato militar como uma armadilha explosiva ou "booby-trap". O
principio e' o mesmo daquele cigarro-explosivo ou de um daqueles livros que
dão choque. não se reproduz. A expressão cavalo-de-troia também e' usada para com programas que capturam senhas sem o conhecimento do
usuário. O criador do programa pode usufruir da senha de acesso capturada. Um exemplo de
bomba-logica e' um arquivo texto "armadilhado" que redefina o teclado ao ser lido pelo comando TYPE. Em um exemplo
clássico, o sujeito digita:
C:\> type carta.txt
Os códigos acrescentados ao texto alteram a tecla x (ou qualquer tecla, não
importa) de forma que, ao invés de escrever x na tela ela aciona uma macro que ativa a formatação do disco
rígido. Existe um software, chamado CHK4BOMB, disponível no subdiretório
ms-dos/vírus de qualquer "mirror" do Simtel20 que ajuda a detectar a existência
desse tipo de programa.
Os antivírus comuns dificilmente detectam, a não ser em casos mais famosos.
--------------------------------------------------------------------------------------------------------
Modus Operandi
Ate' algum tempo atrás, os vírus se dividiam em dois grupos principais:
vírus de disco - ex: Stoned, Michelangelo, Ping-Pong
------------------------------------------------------
Infectam o BOOT-SECTOR. Esta e' a parte do disco responsável pela manutenção
dos arquivos. Da mesma forma que uma biblioteca precisa de um fichário para saber onde se encontram os livros, um disco precisa de ter uma tabela com o
endereço dos dados armazenados. Qualquer operação de entrada e saída (carregamento ou salvamento de um arquivo, por exemplo), precisaria do uso dessa tabela. Salvar ou carregar um arquivo num disquete infectado possibilitaria a ativação do
vírus, que poderia infectar outros disquetes e o disco rígido.
vírus de Arquivo - ex: Jerusalém, Athenas, Freddy
---------------------------------------------------
Infectam arquivos executáveis ou de extensão .SYS, .OVL, . MNU, etc. Estes
vírus se copiam para o inicio ou fim do arquivo. Dessa forma, ao se chamar o programa X, o
vírus se ativaria, executaria ou não outras tarefas e depois ativaria o verdadeiro programa.
Atualmente existem uma terceira e quarta categorias
vírus Multi-partite- ex: Whale, Natas
--------------------------------------
Infectam tanto o boot-sector quanto os arquivos executáveis. são extremamente sofisticados.
vírus como o DIR-II
----------------------
Alteram a tabela de arquivos de forma a serem chamados antes do arquivo programa. Nem propriamente dito
são FILE-INFECTORS nem são realmente BOOT-INFECTORS muito menos multi-partite.
Outras características:
vírus residentes e não:
----------------------------------
Os primeiros vírus eram de concepção muito simples e funcionavam como programas auto-reprodutores apenas. O usuário usava o programa infectado, acionava o
vírus, que infectava todos os outros programas no subdiretório (vírus caçadores, que procuram programas em outros
subdiretórios são muito bandeirosos) e depois colocava para funcionar o programa (o que o
usuário realmente queria usar). Ponto final. Se um programa não infectado for acionado, ele
não será' infectado.Os vírus residentes, mais sofisticados permanecem na memória apos o uso do programa infectado. Portanto podem infectar qualquer outro programa que for chamado durante a mesma
sessão de programação, ate' que o computador seja desligado. Como o sistema operacional e' basicamente um programa destinado a tornar comandos como DIR, TYPE, etc inteligíveis para os chips do computador, ele se torna objeto de
infecção. Neste caso, toda vez que o computador for ligado, o vírus será' carregado para a
memória, podendo
infectar qualquer programa que for usado.
A grande maioria dos vírus atuais pertence a este tipo de vírus.
Quanto a detecção:
Stealth - ex: Athenas, 4096, GenB, etc
--------------------------------------
Um vírus, como todo programa ocupa espaço em disco. O código, em linguagem de maquina, mesmo ocupando um
espaço mínimo, aumenta o tamanho do arquivo. Ao se copiar para dentro do programa a ser infectado, duas coisas aconteciam: o programa aumentava de tamanho e alterava a data de gravação. No caso do
vírus Jerusalém, por exemplo, o programa "engordava" a cada execução, chegando a
se auto-infectar ate' tamanhos absurdos.
Para checar se o arquivo estava infectado era só' fazer uma copia do mesmo e acionar esta copia. Depois bastava executar o comando "DIR" e o resultado mostraria que a data, hora de
criação e o tamanho do programa eram diferentes.
Com o 4096, isso não acontecia. Uma vez residente na memória, o vírus checava para a
existência de uma copia sua no arquivo .exe ou .com e restaurava uma data quase idêntica de
criação de arquivo. Dessa forma, só' um antivírus ou um usuário atento descobria a
diferença. O vírus ATHENAS já' e' algo mais sofisticado. Ele altera tudo de forma a evitar que um
antivírus detectasse a diferença. Em outras palavras, seria necessário que o
vírus não fosse ativado para que fosse detectado. Se o arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou .exe de um disco
rígido seriam infectados, cedo ou tarde. O usuário poderia usar o antivírus
que quisesse. O vírus continuaria invisível. Dai o uso do adjetivo "STEALTH", do avião americano
invisível ao radar.
Como alguns desses vírus verificam ate' se já' estão presentes na memória, o funcionamento do computador
não diminuiria de velocidade o suficiente para alertar o usuário.
OBSERVAÇÃO: Uma vez que o vírus Stealth esconde sua presença de qualquer programa
antivírus, uma forma de descobri-lo e'
justamente guardar um disquete com o programa infectado. Se o programa antivírus
do micro "suspeito" de infecção não o
descobrir a presença de vírus no disquete, então provavelmente o micro esta' infectado. Isso funciona principalmente com versões mais novas de um mesmo
vírus, como o Athenas, o
GenB (vulgo Brasil), etc..
--------------------------------------------------------------------------------------------------------
Companheiros (Companion)
são vírus que não infectam programas .exe. Ao invés disso criam um arquivo de
extensão .com, cujo o atributo e' alterado para Hidden (escondido). Como o arquivo .Com e'
executado antes do .exe, o vírus entra na memória e depois chama o programa. E'
fácil e difícil de detectar. Por não alterar o programa, escapa a algumas formas de
detecção, como a checagem do CRC. Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH mostra todos os arquivos escondidos. Mas para se ter certeza,
só' quando o BOOT
e' feito com um disquete limpo de vírus, já' que nada impede de um vírus
Companion ser também Stealth (ou polimorfico, ou multi-partite, tem vírus para todos os gostos).
---------------------------------------------------------------------------------------------------------
polimorficos - ex: Natas, Freddy, etc
No tempo em que os primeiros antivírus contra o jerusalém apareceram, alguns "espertos" resolveram criar
novas versões indigitáveis através da alteração do vírus. Como o antivírus
procura uma característica do vírus para dar o alarme, essa modificação
obrigava a criação de um novo detector de vírus. Isso e' bastante comum. Novas versões de
vírus são feitas a cada dia, aproveitando-se esqueletos de antigas versões, tendo alguns
vírus gerado verdadeiras "famílias" de "parentes", de versões mais antigas. O
próprio vírus Michelangelo seria uma versão "acochambrada" do vírus
Stoned. A ultima moda (para os projetistas de vírus) e' o uso da poliformia. O
vírus se altera a cada vez que infecta um novo arquivo. Dessa forma o vírus
cria N variações de si próprio. Hipoteticamente, se uma variações escapasse ao antivírus, ela poderia re-infectar todos os arquivos novamente.
---------------------------------------------------------------------------------------------------------
Retrovirus - ex: Goldbug, Crepate
são vírus que tem como alvo antivírus, como o Scan, Clean, CPAV NAV, ou qualquer arquivo que contenha as strings AV, AN, SC, etc
no nome. Pode ser o objetivo principal ou paralelo. O Crepate, por exemplo, e' multi-partite
(infecta tanto o boot como arquivos executáveis). Alguns simplesmente deletam os arquivos que contem
o CRC dos programas analisados (uma espécie de selo que alguns antivírus, como o NAV, por exemplo, criam: um arquivo onde varias
características pre-infeccao (tais como tamanho, data, atributos) ficam armazenadas). Um ou outro
antivírus tem código p. desativar antivírus residentes, como o V-SHIELD e o VACINA e passar desapercebido.
---------------------------------------------------------------------------------------------------------
vírus
Existem vírus que se especializam em detectar e infectar arquivos já' infectados por outros
vírus menos sofisticados.
Métodos de detecção
Como vimos anteriormente, os vírus mais antigos deixavam rastros que possibilitavam sua descoberta:
Sintomas:
Demora maior na execução de um programa. O sistema fica
mais lento como um todo.
Aumento no tamanho dos programas.
alteração na data de criação do programa. Quando o vírus infecta, o programa aparece uma data de
criação recente.
No caso de vírus de disco, e' possível que alguns arquivos do disquete pura e simplesmente
desapareçam.
Igualmente o aparecimento de mensagem acusando Bad Cluster em todos os disquetes usados
(não confundir com o que acontece com um disquete de 360k formatado por engano para
1.2 de capacidade). Nos tempos do vírus Ping-pong, essa era uma dica de infecção.
Disquete funciona em PC-XT mas não funciona em um PC-AT.
antivírus alerta para modificação em seu arquivo (os novos programas antivírus
não funcionam quando são modificados pela infecção de um vírus). não se deve utiliza-los mesmo quando
possível se houver vírus na memória, pois isso infecta todos os arquivos que forem examinados.
Utilização de ferramentas como norton Utilities ou PCTOOLS para visualização
do setor de Boot mostram modificações (só' para quem sabe a diferença).
Programa Windows deixa de funcionar ou congela repetidamente.
-------------------------------------------------------------------------------------------------------
Para se "limpar" um vírus
O mais simples e' o uso de um antivírus, como o Scan, NAV, Thunderbyte, ou F-Prot. Cada um destes tem sua
própria forma de utilização. Atualmente o Thunderbyte e o F-Prot estão
ganhando uma ótima reputação, embora o Scan ainda seja capaz de proezas na limpeza de
vírus polimorficos, por exemplo.O norton antivírus possui em seu pacote um programa denominado Vacina, que, como o VShield (da mesma firma que fabrica o Scan) vigia para a entrada de
vírus e e' recomendável. O NAV em si tem os seus defensores, mas alguns o consideram um
desperdício de espaço na Winchester.O F-Prot possui um banco de dados contendo
descrições
de vírus de computador já' analisados por eles. A firma edita também um boletim sobre
vírus, disponível em ftp site e em www, com boas descrições sobre novos problemas causados por novos tipos de
vírus.O Scan da MCafee alterou recentemente o formato original de programa. Alguns o consideram mais
vulnerável a ação de vírus antivírus (os chamados retrovirus).
Ate' a versão 6.2 do DOS existia um antivírus da Central Point junto com o pacote. Gerou um
rebuliço pela quantidade de falso-positivos (dava alarmes falsos) que gerava, quando usado em conjunto com outros
antivírus. Sua eficácia era igualmente reduzida pelo fato de que não e' fácil de atualizar. Novos tipos de
vírus passariam indigitáveis.
--------------------------------------------------------------------------------------------------------
Precauções:
Antes de qualquer tentativa de se limpar um micro ou um disco deve-se dar um BOOT com um disquete limpo de
vírus. Este disquete, se não existir, deve ser feito em algum outro micro onde o
vírus não apareceu, através do comando SYS. Apos a copia do sistema operacional para o disquete, copia-se o
antivírus para o disquete e coloca-se a etiqueta de proteção. Desliga-se o micro e liga-o novamente como o novo disquete de sistema, (devidamente protegido contra gravação
através da etiqueta) no drive A:.
Sabendo-se que determinado disquete contem vírus de disco, a forma correta de se limpa-lo sem recorrer a
antivírus e' através do comando SYS do DOS. E' necessário que o disquete tenha
espaço suficiente para que o comando funcione, portanto se usa o PCTOOLS ou algum outro programa copiador de arquivos para copiar os arquivos antes de executar o comando SYS A: ou SYS B:. O ideal e' formatar o disquete.
No caso do disco rígido infectado com vírus de disco, e' necessário garantir o salvamento ou o
backup dos dados
mais importantes, como:
arquivos de configuração:
autoexec.bat, config.sys, win.ini, etc
arquivos de dados:
aqueles com os quais voce trabalha desde o ultimo backup.
Em seguida, usar o comando MIRROR para fazer uma copia do boot sector do disco em disquete (que ficara' infectado,
mas poderá' ser limpo depois com mais facilidade). Feito isso,
pode-se a partir do prompt do DOS no drive C: digitar:
C:\> \dos\fdisk /mbr
Imediatamente se desliga o micro, para evitar reinfeccao. Essa técnica funciona em muitos casos, mas o inteligente e' executa-la tendo
inicializado o micro com um disquete limpo de vírus no drive a: (não existe nada melhor).
No caso de micro contaminado por vírus de arquivo polimorfico(NATAS ou FREDDY), o ideal e' a
reinstalação de todos os arquivos infectados, começando pelo command.com. Arquivos texto
poderão ser salvos.
Algumas dicas para o SCAN:
Pode-se pesquisar muitos disquetes de uma só' vez com a seguinte linha de comando:
C:\> scan a: /many
Para se evitar o tempo que o antivírus perde checando a memória:
C:\> scan a: /nomem
Para se ter as instruções do Scan e do Clean em português existe um arquivo de
extensão .msg, disponível na maioria dos locais que possuem antivírus. E'
só' renomear o arquivo para MCAFEE.MSG e automaticamente o scan adota as mensagens daquela linguagem.
EX:
C:\> ren spanish.msg mcafee.msg
As ultimas versões do Scan (2.3) tem a lista de vírus e o antivírus Clean incorporado.
ex: scan c: /clean
Automaticamente limpa os arquivos infectados
ex: scan /vlist
Exibe uma lista dos vírus que esse antivírus detecta (e/ou limpa).
---------------------------------------------------------------------------------------------------------
Como funciona um programa antivírus:
Pouca gente que trabalha com isso desconhece. são três as
principais formas de se detectar a ação de um vírus num sistema através do programa
antivírus.
1) Vigiando a memória do micro para ação de qualquer novo programa (quando o vírus
e' residente, ele ocupa espaço na memória e pode ser rastreado através de programas como o CHKDSK ou MEM /c) ou outros sinais de
infecção.
2) Mantendo um arquivo com as características do(s) arquivos antes da infecção. Assim, como se fosse um policial, ele
ele examina o CRC, a data de criação do arquivo, o tamanho e outras características
cuja alteração denunciaria ação indevida.
3) Abrindo cada um dos arquivos passiveis de infecção e examinando o código
do programa. Lembrar que o vírus e' um programa de computador que se copia sem intervenção
humana para outro programa ou boot sector. Um programa e' composto de as vezes milhares de
instruções em linguagem de baixo nível.
O que o programa antivírus faz e' ler esse "texto" dos arquivos executáveis (de
extensão .COM,
.EXE ou .OVL, entre outros) e procurar por uma linha de código característica de
vírus de computador.
O programa, ao encontrar uma semelhança entre o código do vírus e a linha de código
que ele tem armazenada na memória como pertencente a um vírus, aciona a mensagem de alerta para o
usuário.
observação: Alarmes falsos - Algumas vezes
quando o antivírus não foi bem testado, o programa
pode classificar outro programa como infectado, só porque ele encontrou essa parte do
código, sem que
exista nenhum vírus no computador (a isso se chama o falso alarme). Esse tipo de busca e'
também feito
na memória do micro, algumas vezes também com o mesmo efeito, sendo famoso o antivírus
disponível com a
versão 6.2 do MSDOS. Se fosse usado junto com o antivírus SCAN versão 108
(não tenho certeza), este
emitia a mensagem de que o vírus "Protector" estava
ativo na memória (quando na verdade o antivírus e'
que estava).
---------------------------------------------------------------------------------------------------------
Para se estudar um vírus:
Para as almas corajosas que querem, por uma razão ou outra colecionar vírus
para estudo (atitude que aprovo, desde que o fim seja o de aprender alguma forma de se livrar deles de forma mais
fácil), aqui vão algumas dicas.
Em primeiro lugar, nunca estudar o vírus em um micro contendo arquivos de outra pessoa com dados valiosos que possam ser perdidos. Se for usar o seu micro, certifique-se de que tem todos os arquivos
backup guardados e faca novo BACKUP antes do inicio do trabalho.
Segundo lugar. Tenha o vírus copiado para um disquete. Isso e' feito através
da copia do arquivo infectado para um disquete. No caso de vírus de disco, formatando um disquete (com sistema operacional, usando format a: /s na linha de comando).
Terceiro lugar. Tenha um disquete de Boot, limpo de vírus a mão. De preferência
dois, todos com etiqueta.
Quarto: modifique o autoexec.bat no disquete, adicionando o comando subst da seguinte maneira:
Ex:
subst c: a:
subst b: a:
subst qualquer outro drive a:
Obs: Em teoria isto vai impedir o vírus de se propagar para o drive C:, mas o melhor ainda e' desligar a Winchester mexendo na
configuração da BIOS ou via desligamento da placa da winchester.
Feitas essas preparações, começasse a testar o vírus. O ideal e' ter um arquivo de isca, com um
código simples como esse: {programa retirado da revista vírus Report - nr 4 pg 4 }
org 100h
code segment
assume cs:code, ds:code
programa proc
inicio:
mov ah, 4Ch
mov al, 0h
int 21h
programa endp
code ends
end inicio
A ideia e' ter um programa cujo código não confunda na hora de examinar. Na verdade, o programa poderia ser bem menor. só' que alguns
vírus se recusam a infectar programas com menos de 500 bytes. Compilar com o MASM ou TASM. Havendo tal programa que chamarei de isca, deve-se renomea-lo para isca.xxx antes do inicio das
experiências.
Para averiguar o comportamento do vírus desenvolvi o seguinte método:
1) Antes de ativar o programa infectado
Digitar;
dir isc*.* >> teste.doc
copy isca.xxx isca1.com
arquivo <------------ aciona-se o arquivo virótico
echo "arquivo virótico ativado" >> teste.doc
^
I
(Comando para inserir essa linha no arquivo de registro sem editor de texto)
2) Uma vez o arquivo ativado ( o vírus provavelmente na memória)
Digitar:
dir isc*.* >> teste.doc
isca1
echo "isca1.com ativado" >> teste.doc
dir isc*.* >> teste.doc
3) realizar novo boot para tirar o vírus da memória
Digitar:
echo "situação apos boot" >> teste.doc
dir isc*.* >> teste
Podem ser estudados:
- O aumento do arquivo apos a infecção
- As diferenças na quantidade de memória livre existente apos ativação (usando o CHKDSK e o MEM)
- O tipo de arquivos que infecta e se tem um tempo de incubação (tempo durante o qual nada acontece).
- Colocar vários arquivos juntos de uma só' vez,para se determinar se e' fast-infector.
- Pode ser considerado "Stealth" se conseguir esconder sua presença.
Obs: não se deve em hipótese alguma executar o Debug com o vírus na memória
do micro.
Obs2: O vírus pode ser considerado Stealth (furtivo) se as alterações no arquivo ficarem
visíveis com um boot feito com disquete limpo de vírus (no caso de um que ataque arquivos).
Os vírus de Boot são estudados dando-se o boot com um disquete infectado com o mesmo. Usar-se o comando SYS do
DOS para se implantar o sistema operacional no disquete
infectado apagara' o vírus no disquete.
Exemplo de descrição de um vírus que espalhou muita destruição, na Universidade de
são Paulo ( e outros
lugares, sem duvida)
--------------------------------------------------------------------------------------------------------
Texto distribuído junto com o programa antivírus anti-brazil vírus,
programa de autoria do Prof. Raul Weber
Instituto de Informática - UFRGS - Brazil
características do "Brasil vírus!"
A analise abaixo e' baseada em uma amostra do vírus em um disquete de 360k.
Este setor foi enviado por Joseph Max Cohenca, da USP.
1. O vírus não e' detectado por nenhum antivírus atualmente disponível ate' a date de 5 de outubro de 1992. Mais especificamente, o F-Prot 2.05
não detecta nada, tanto em modo "normal" quanto em modo 'heurístico".
O scan 95b detecta um "Generic Boot Infector", mas isto e' simplesmente um aviso de que o SCAN
não descobriu no setor de boot o código normal
de um disquete DOS. Se isto e' realmente um vírus ou algum sistema operacional "clonado" do DOS, o SCAN
não sabe. Por falta de informação a respeito, o CLEAN não consegue restaurar o disquete.
2. O vírus e' um vírus de bootstrap, e parece ser inédito, ou seja, ou e' realmente um
vírus brasileiro, ou uma copia muito modificada de um vírus já' existente (como Stoned, Michelangelo ou Disk Killer).
3. O vírus usa três setores do disco (ou disquete). O primeiro setor, que substitui o boot em disquetes ou o
máster boot de discos rígidos, contem
o código da ativação inicial do vírus, que e' executado quando se liga a maquina ou se reinicializa ela (por reset ou Ctl-Alt-Del). O segundo setor contem o
código do vírus que se torna residente, e que e' responsável pela propagação
e ataque do vírus. No terceiro setor o vírus guarda o
setor de boot original.
4. Em discos rígidos, o vírus usa para os seus três setores os setores 1, 2 e 3, do cilindro zero,
cabeça zero. (Obs: nestes discos, o setor 1 e' o
masterboot, que contem a tabela de partição). Para eliminar o vírus, basta copiar o setor 3 (a copia do
máster boot original) de volta para o setor 1.
5. Em disquetes de 360k, o vírus usa os setores 0, 10 e 11 (numeração DOS; isto significa set.1, cil.0, tr.0 (boot), set 2, cil.0, tr.1 (setor 10) e
set.3, cil.0, cab.1 (setor 11). Os setores 10 e 11 são os setores finais do diretório
raiz, e o vírus pode causar problemas se existirem muitos
arquivos no diretório raiz. Para eliminar o vírus e restaurar o disquete, basta copiar o setor 11 para o setor 0.
6. O vírus tem a capacidade de infectar outros disquetes (720k, 1.2M e 1.44M), localizando-se sempre nos dois
últimos setores do diretório raiz, que tem
baixa probabilidade de serem ocupados pelo DOS.
7. O vírus testa sua presença através dos endereços 01A8 e 01A9 (em hexa) do setor de boot. Se estes dois bytes forem CF CF, o
vírus assume que já'
infectou o disco. Se não, o vírus procede 'a infecção.
8. O vírus, durante sua carga (na inicializacao do sistema), intercepta unicamente o vetor 13H da tabela de
interrupção do DOS. Esta entrada
realiza os serviços do BIOS de acesso a discos e disquetes.
9. O vírus usa técnicas de invisibilidade (Stealth) para impedir sua detecção. Qualquer tentativa de leitura do setor de boot e' interceptada
pelo vírus, que devolve o setor original. Assim, para uma analise ser efetiva, o
vírus não deve estar residente na memória.
10. Ao realizar o seu ataque, o vírus escreve "Brasil vírus!" na posição
atual do cursor na tela. Este texto ("Brasil vírus!") esta' criptografado
e não pode ser detectado por um programa editor de disco. Obs: Brasil esta' escrito com "s" e
não "z".
11. O vírus somente infecta discos rígidos (na hora da carga do sistema) e disquetes no driver A:. Disquetes no driver B:
não são infectados. Disquetes são infectados ao realizar-se operações de leitura sobre os mesmos. Obs: um simples comando de "DIR" e'
suficiente para infectar um disquete.
Os seguintes dados são preliminares e necessitam de maior analise:
1. Para realizar o ataque, o vírus conta tempo apos a infecção do disco rígido. Aparentemente, passando-se 120 horas de uso do
computador apos a primeira infecção, o vírus escreve a mensagem "Brasil vírus!" na
posição atual do cursor, apaga as primeiras trilhas do disco rígido e "congela" o computador.
Um programa especifico para detectar e eliminar o "Brasil vírus" já' foi desenvolvida pelo Instituto de
informática da UFRGS e esta' disponível por ftp anônimo na maquina caracol.inf.ufrgs.br (143.54.2.99),
diretório pub/vírus/pc, arquivo antibr2.zip.
------------------------------------------------------------------------------------------------------
Porque os vírus são escritos:
O chamado vírus de computador e' um software que sempre capta atenção e estimula a curiosidade. Esta pergunta foi
feita na convenção de Hackers e fabricantes de vírus na
Argentina. A primeira resposta foi:
- Because it's fun. (por diversão, entretenimento)
Outras respostas:
- Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind
"Os vírus de computador são a primeira forma de vida feita pelo homem"). Esta proposta e' seguida por
vários cientistas, incluindo um que pós a disposição seu vírus (inofensivo) para aqueles que estivessem interessados.
Existe uma revista eletrônica dedicada a isto, chamada Artificial Life e vários
livros sobre o assunto. Em suma
algo serio.
- Para descobrir se são capazes de fazer isso ou para mostrarem para os colegas do que
são capazes de fazer com um micro. Testar seus conhecimentos de computação.
- Por frustração ou desejo de vingança. Muitos autores de vírus são adolescentes. Um jovem (inconformado com o
fato de que o pai não esta' afim de comprar aquele kit de multimídia para o seu micro), usa o que sabe para ...
* Esta hipótese e' pura imaginação. Mas a vontade de sublimar uma raiva através
de atos de vandalismo existe, como demonstram os pichadores e quebradores de telefones.
- Curiosidade. Algo muito forte, mesmo para aqueles que tem pouco conhecimento de
informática. Uma das melhores formas de se aprender sobre vírus e' "criando" um.
- Para conseguir acesso a BBSes de vírus. Existem BBSes que possuem bibliotecas de
vírus e códigos fontes como a Viegas BBS (agora desativada) e outras nos EUA e em
outros paises. O usuário podia ter acesso a coleção de vírus se fornecesse um novo. Muitos criavam ou
modificavam vírus já' existentes p. ter esse acesso (alias dois terços dos vírus
já' registrados são resultado desse intento, sendo muitos considerados fracos ou pouco sofisticados, comparados com os originais).
- Para punir aqueles que copiam programas de computador sem pagar direitos autorais.
- Para conseguir fama.
- Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o uso de uma outra arma de
"atrapalhamento" do sistema de computadores do inimigo. Ainda assim, os
vírus p. uso militar são uma possibilidade.
-etc, etc
Minha opinião pessoal e' que as pessoas se interessam por vírus de computadores da mesma forma que curtem assistir
filmes de guerra e colecionam armas de fogo ou facas.O fato de que a pessoa coleciona
vírus de computador ou cria novos espécimes não indica uma vontade de distribuir
seus "rebentos" para o publico em geral.
-------------------------------------------------------------------------------------------------------
vírus benignos:
Existem. Um deles e' o KOH, criado por King of Hearts, um hacker mexicano. Ele e' um
vírus que criptografa tudo, de acordo com uma senha escolhida pelo usuário. Desenvolvido
com o algoritmo IDEA, e' teoricamente difícil de ser "quebrado". O utilizador desse
vírus pode "pedir" ao vírus para não infectar disquetes ou disco rígidos e controlar
sua ação, portanto. Usa técnicas "stealth" e e' invisível portanto a antivírus, podendo mesmo ajudar a evitar alguns
tipos de vírus.
Outro, compacta, a semelhança do programa PKLITE, todo e qualquer arquivo executável
que "infecta". O único vírus que "reduz" o espaço físico que "ocupa". Sem prejudicar
os programas que compacta.
---------------------------------------------------------------------------------------------------------
Emuladores de vírus
são programas que simulam a ação de vírus de computador, para treinamento ou
diversão (a custa dos outros). Existe um, antigo, que faz aparecer umas aranhas na tela que "comem" todas as letras do texto digitado. Outro exibe
mensagens de erro, com os seguintes dizeres:
1- Erro tal. Sua Winchester esta' cheia de água.
2- Barulho de Winchester "inundada" aparece no alto-falante do micro.
3- O sistema operacional avisa que vai centrifugar o disco rígido para tirar a água. Barulho de
centrifugação no alto-falante do micro.
4- Volta o sistema ao normal.
Durante esse tempo todo, nada aconteceu com o seu micro. O teclado ficou travado, mas nenhum arquivo foi deletado,
nem mudado de lugar. Mas quem não conhece o dito fica em pânico, e se e' o usuário
"TAO" (aquele que aperta bo"TAO" de reset com a ideia de que vai ganhar presente depois),
e' capaz de desistir de aprender computação.
Mais util e' o Virsim2, um emulador de vírus feito especialmente para treinar gente no combate a
antivírus.
O programa produz arquivos inofensivos (que são detectados como se fossem infectados por diferentes tipos de
vírus, ver sessão sobre o funcionamento do Scan). também e' capaz de "infectar" um disquete com um boot
virótico (que não infecta o disco rígido ou outros disquetes) ou simular o efeito de um
vírus na memória. A instalação do programa e' sofisticada, com uma voz (em
inglês) explicando o que o programa esta' fazendo no momento, e isso funciona sem
placa sound-blaster.
Engraçado e' que em algumas firmas onde este programa foi usado constatou-se que nenhum dos arquivos
fictícios infectados foi encontrado pelos funcionários.Constatou-se uma apatia total pelo uso de programas antivírus
(já' que não havia vírus, não havia medo de vírus, então não havia uso dos programas
antivírus instalados).
--------------------------------------------------------------------------------------------------------
Nomenclatura de vírus:
não existe uma convenção sobre o assunto. Enquanto os fabricantes de vírus costumam trocar dicas e
idéias, os fabricantes de antivírus normalmente se fecham em si, cada qual defendendo
o seu mercado. O que e' Athenas para o Scan da Mcafee Software, e' Trojector para o F-Prot do Friedriek Skulasson. O maior documento, e em formato
hipertexto, sobre vírus, e' o VSUM, produzido pela Patrícia Hoffman. Como parece que ela recebe
dinheiro da Mcafee, ou porque sua descrição e' duvidosa (não sei o porque na verdade), o fato e' que este documento
não e' aceito pela comunidade de pesquisadores antivírus. Pelo menos não o e' na sua totalidade. Existem vozes discordantes.
Num de seus boletins, a firma que produz o F-Prot conta tudo sobre como elabora a nomenclatura de seus
vírus, mas se trata de uma leitura chata. O "nosso" vírus Brazil não aparece na lista deles nem do Scan como tal, por exemplo.
já' um vírus chamado Xuxa, muito raro (parece que foi escrito só' p. fins de divulgação) e' chamado como tal.
As vezes, o vírus e' nomeado por se tratar de uma modificação de outro já' existente ou pelo programa que o
produziu (como acontece com os vírus produzidos com a ajuda do VCL - ver os kits de
produção de vírus). As vezes o vírus contem um sinal (ele tem que saber como identificar
um arquivo virótico, p. não infectar repetidas vezes o mesmo arquivo) e esta característica
"batiza" o vírus.
----------------------------------------------------------------------------------------------------------
Programas "falsos":
Algumas vezes, aparecem "ultimas versões" ou versões "desprotegidas" de softwares muito utilizados. O sujeito copia, usa em
casa, e .. descobre que o software e' na verdade um programa de formatação física
de Winchester disfarçado de outra coisa. Esse e' o tipo de vírus classificado como "cavalo de troia" ou
"bomba-logica".
Na Viegas BBS havia alguns programas do gênero, inclusive um "norton vírus
Detector", antecipando em alguns anos a produção do programa antivírus do norton. Esse tipo de
falsificação aconteceu muito com o Scan, o Pkzip e acho que ate' com o Arj. O programa na verdade instalava um
vírus ou fazia alguma coisa ruim com os dados da winchester.
Um caso que deu muito o que falar foi o do "AIDS-virus".
Era um programa com informações sobre a AIDS. O sujeito respondia algumas perguntas, recebia alguma
informação geral sobre o vírus (biológico) e tudo bem. só' depois descobria que todos
os nomes, todas as extensões de arquivo, tudo o que estava na Winchester havia sido alterado. A seguinte mensagem aparecia:
"It is time to pay for your software lease from PC Cyborg Corporation. Complete the INVOICE and attach payment for the lease
option of your choice.If you don't use the printed INVOICE, then be sure to refer to the important reference numbers below in all
correspondence.
In return you will recieve:
- a renewal software package with easy to follow, complete instructions;
- an automatic, self installing diskette that anyone can apply in minutes."
Isso podia ser uma propaganda contra software pirata, mas na verdade o software foi
distribuído gratuitamente como brinde numa convenção internacional sobre AIDS e
também numa revista de informática tipo PC-Qualquer coisa.
Como já' foi dito acima, a única forma de prevenção contra esse tipo de programa e' um software chamado
CHK4BOMB, disponível no subdiretório vírus de qualquer "mirror" do Simtel20. Ainda assim nada realmente e' capaz de garantir que
um programa e' ou não um "cavalo-de-troia".
--------------------------------------------------------------------------------------------------------
Laboratórios de fabricação de vírus:
Existem programas feitos especificamente com o propósito de auxiliar iniciantes na arte de fabricar
vírus sofisticados.
são os "vírus Construction Tools". Existem bibliotecas de rotinas prontas que podem tornar um
vírus simples polimorfico (mais difícil de detectar) sem grande dificuldade para
o programador. E programas que fazem o serviço completo ao gosto do "inteligente" que quiser construir seu
próprio "monstro".
O primeiro foi o GENVIR, construído e distribuído na Franca. Lançado como uma
espécie de Shareware, e' cheio de menus, mas na hora de produzir o vírus ele para. Para receber
uma copia que realmente faca o trabalho, a pessoa deveria enviar 120 francos para um
endereço na Franca. Um grupo alemão o "Verband Deutscher Virenliebhaber"
escreveu o VCS (vírus Construction Set). Esse incorpora um texto escolhido pelo
usuário num vírus simples, que apos se reproduzir um numero x de vezes, deleta os arquivos de
configuração, como AUTOEXEC.BAT e CONFIG.SYS.
Outros kits mais "completos" e "sofisticados" são o VCL (vírus Construction Laboratory), o PS-MPC (Phalcon/
Skism - Mass Produced Code Generator), o IVP (Instant vírus Production Kit) e o G2 (G ao quadrado). Alguns chegam a
produzir vírus com características avançadas, como criptografacao e otimização
de código virótico(!). Como os fabricantes de antivírus também se mantém atualizados, os
programas antivírus são atualizados de forma a detectar os vírus produzidos por esses
laboratório.
--------------------------------------------------------------------------------------------------------
Algumas crendices:
Contaminação por Modem de computador:
não existe. Pode-se conseguir um numa BBS ou com um amigo através da copia de um programa infectado, mas e'
tecnicamente impossível um micro infectar outro através do uso de modem.
-------------------------------------------------------------------------------------------------------
Contaminação por cima da etiqueta de proteção:
também impossível. O que pode ter acontecido e' a infecção ter sido descoberta depois da
colocação da etiqueta, coisa que acontece com vírus "stealth". Essa trava impede a
gravação no disquete e isso funciona a nível de hardware, não de software.
--------------------------------------------------------------------------------------------------------
E' necessário formatar todos os disquetes para se livrar dos vírus?
Nem sempre. Tudo depende de se ter ou não o "disquete de sistema limpo de vírus". Com ele e'
possível só' apagar os programas infectados e evitar esse trabalho. De acordo com a minha
experiência e' possível usar uma ferramenta como o PCTOOLS ou o XTREE para "salvar" os arquivos
de dados, sem aumentar a transmissão. Em alguns casos pode ser mais fácil formatar e re-instalar tudo do que
fazer a limpeza, mas nem sempre.
---------------------------------------------------------------------------------------------------------
só' software pirata contem vírus
Nem sempre. O Michelangelo foi distribuído pela primeira vez dentro de 20.000 disquetes
distribuídos por uma firma de computação a seus usuarios. O computador que fazia as copias
estava infectado. Houve também o caso de um programa famoso de Desktop Publishing cujos disquetes-matriz foram
infectados na casa do sujeito encarregado de dar uma ultima olhada, resultando que toda a
produção foi infectada.
---------------------------------------------------------------------------------------------------------
Calendário de vírus:
Essa e' uma favorita da imprensa. não se fazem mais as reportagens sobre superstição
na Sexta-feira 13 (como antigamente). Mas com certeza se fazem reportagem sobre o
vírus Sexta-Feira 13 e o problema dos vírus que tem dia certo para ativar.
A maior incidência de vírus no Brasil, de acordo com bate-papos com gente que faz
acessória de informática
são de vírus como o Stoned, o Michelangelo, o jerusalém, o Athenas (trojector) e ultimamente o Freddy. Aqui e
ali ocorrem surtos de alguns vírus novos, como o GV-MG e o Daniela.
Desses, só' um ou dois tem ativação por dia do ano. O Michelangelo, 6 de Marco, e o Sexta-Feira 13. O
problema e' que se a pessoa for esperta e fizer uma check-up regular no micro, com qualquer programa como
o Vshield ou Vacina (ate' mesmo o MSAV do Dos 6.2 e' o suficiente para isso), ira' descobrir o intruso.
Para se ter uma ideia, existem versões modificadastanto do sexta-feira 13 como do Miguelangelo, que
detectam quando o dono do micro desligou para "evitar" o dia fatídico. Funcionam no dia ou na semana seguinte.
---------------------------------------------------------------------------------------------------------
vírus "Good Times"
Esta e' aconteceu na Internet, mas não duvido que tenha acontecido também em BBSes por ai' afora. Era um aviso
sobre um vírus que apagava tudo no disco rígido, veiculado em correio eletrônico. Funcionava como uma daquelas
correntes da felicidade. O sujeito recebia o aviso e re-enviava para todo mundo que conhecia, e esses
também re-enviavam.
O efeito do vírus foi "torrar" a paciência e ajudar a encher o correio eletrônico
(em alguns serviços de BBS
paga-se por quantidade de correspondência recebida) de muita gente. Depois veio uma segunda onda, a daqueles
que avisavam que o vírus não existia.
|
