VÍRUS verdades ou mentiras...Mundohacker3
Portal Site 100% educativo
Todas as páginas do Site
Brazilian origin site
PINCELARTE
papel de parede
MUNDO HACKER
segurânça de sistemas
JAVA TIME
efeitos especiais
VAMBASCO
karaokê center
MUSICOMPANY
bandas musicais
MOVIECOMPANY
central de filmes
MUNDOHACKER - A CHAVE DO PORTAL ©
(SITE ORIGINAL DO BRASIL DESDE 1999)

w w w.rebelancer.com
PARTE 3 - VÍRUS: VERDADES E MENTIRAS
PARTE 1  PARTE 2   PARTE 3   PARTE 4   PARTE 5   PARTE 6  PARTE 7
Este Site exibe alto teor de arquivos e efeitos, é aconselhável conexão de alta velocidade
Google Empresas - assuntos - produtos
ALERTA SOBRE O CONTEÚDO DO SITE
Alertamos a todos os futuros assinantes :Nâo encontrarão no site Rebelancer arquivos vetados por lei: softwares pagos, senhas dos mesmos, arquivos hackers, exibições sexuais, informações pessoais de empresas, chaves para aberturas de sites, senhas de emails, pedofilia. Voltamos a avisar que não ensinamos nenhum indivíduo a ser um hacker, alguns invertem o quadro de apresentações, insistindo no assunto. Uma boa parte do conteúdo do portal foi retirado da própria Internet, apenas foram retocados e apresentados com maior nitidez em todos os aspectos.
 2600 - 2600 Magazine The Hacker Quarterly - Informação sobre (quase tudo)
 WPI - Worldwide Piracy Iniciative - Mais Informação e links hacker files do passado
 LHII - L0pht Heay Industries - Passando a vulnerabilidade da Microsoft da teoria à prática
 CCC - Chaos Computer Club - A organização hacker alemã e uma coleção de links
 EFF - Electronic Frontier - Foundation Organização para a liberdade
 LOD - Legion of Doom - Organização legendária de Hackers
 CRYPT - Crypt Newsletter - Jornal de notícias undergroun
 VIRII - Computer Virus Research Lab - Home Page O laboratório de virii (em CdR)
 DEFCON - Defcon - Convenções para o underground de computadores
 WIRETAP - Whiretap Electronic Text Archive - Um arquivo de ficheiros da "early Internet"
 HACKERZ - Hackerz.org - Home of the Hacker's Defense Fund.
 SHAOSTIC - Chaostic - Dá até dá para conseguir TV Cabo grátis (segundo eles dizem!)
 CUDIGEST - Computer - Underground Digest Zine sobre computadores e underground
 PHRACKS - PHRACKS -Um dos mais antigos zines hacker
 ROOTSHELL - Welcome to Rootshell - Muita informação sobre hackers, e sites "hackados"
 ROOT - r00t - Palavras para quê?
 KEVIN - Switch Room Kevin Poulsen's Place (hacker in jail...)
 W666 - #WAREZ666 - Mais uma "coisa" parecida com um zine
 HACKZ - Hackz Publishing - Este site (alegadamente) não viola a lei
 CDC - Cult of The Dead Cow viola - Home page do famoso bug "Back Orifice"
 ANTIONLINE - AntiOnline "A Rick's Cafe in Casablanca World of Hacking"
 NEWORDER - NewOrder - Contra-hackers?
 ANONYMIZER - Anonymizer, Inc. - Privacidade e Anonimato no envio de mails
 OPUS666 - Anonymizer, Inc. - Privacidade e Anonimato no envio de mails.

- informações extraídas do site Barata Elétrica 01-
Definição
Antes de mais nada, e' preciso dizer que praticamente qualquer coisa de errado que acontece com um computador durante uma sessão de trabalho e' atribuída a um virus, independente da causa estar no programa ou na falta de experiência do usuário. De acordo com uma pesquisa da PC Magazine, 50 % dos prejuízos em software são culpa de mal uso ou independência. Qualquer um que atualizá o software sabe os problemas de re aprender a mexer com novos botões de salvamento de trabalho ou teclas de saída e apagamento que co lidem com o uso antigo de outro software. O usuário inexperiente destrói muito mais dados do que qualquer virus. Mesmo programas bem desenvolvidos tem defeitos que destroem o trabalho por conta de alguma falha no lançamento. Normalmente são as versões X.0. Qualquer pessoa que utilize um software recem-lancado (normalmente numero ponto zero) se arrisca a ter dores de cabeça que não serão culpa de virus de computador e que ninguém saberá' como resolver. A versão 5.01 de qualquer programa e' quase sempre a versão com correção dos erros encontrados na versão 5.0. Para quem não acredita e' so' perguntar a alguém que comprou a versão 6.0 do Wordperfect para Windows logo quando saiu. Ou a versão 6.0 do MSDos, a versão 3.0 do Windows, ou a versão 5.0 do Clipper. Saiu um artigo na folha de Informática do Estado de São Paulo (13/02/94) falando sobre o Pentium e tambem como alguns softwares recem-saidos podem apresentar defeitos, ou bugs, tão destrutivo's quanto um virus. Um virus de computador e' um programa que pode infectar outro programa de computador atraves da modificação dele de forma a incluir uma copia de si mesmo (de acordo com Fred Cohen, autor de "A Short Course on Computer Viruses"). A denominação de programa-virus vem de uma analogia com o virus biológico, que transforma a célula numa fabrica de copias dele. Para o publico em geral qualquer programa que apague dados, ou atrapalhe o trabalho pode levar a denominação de virus. Do ponto de vista de um programador, o virus de computador e' algo bastante interessante. Pode ser descrito como uma programa altamente sofisticado, capaz de tomar decisões automaticamente, funcionar em diferentes tipos de computador, e apresentar um indice mínimo de problemas ou mal-funcionamento. Stephen Hawking se referiu ao virus de computador como a primeira forma de vida construída pelo homem. De fato: o virus e' capaz de se reproduzir sem a interferência do homem e tambem de garantir sozinho sua sobrevivência. Como a auto-reproducao e a manutenção da vida são para alguns cientistas, o básico para um organismo ser descrito como vivo. O virus Stoned e' um exemplo que resiste ate' hoje, anos depois da sua criação. Sendo o virus um programa de computador sofisticado, ainda que use técnicas de inteligência artificial, ele obedece a um conjunto de instruções contidas no seu código. Portanto e' possivel se prevenir contra seu funcionamento, conhecendo seus hábitos.
Bomba Lógica e Cavalo de Tróia: o cavalo-de-troia se assemelha mais a um artefato militar como uma armadilha explosiva ou "booby-trap". O principio é o mesmo daquele cigarro-explosivo ou de um daqueles livros que dão choque. Não se reproduz. A expressão cavalo-de-troia tambem é' usada para com programas que capturam senhas sem o conhecimento do usuário. O criador do programa pode usufruir da senha de acesso capturada. Um exemplo de bomba-logica é um arquivo texto "armadilhado" que re defina o teclado ao ser lido pelo comando TYPE. Em um exemplo clássico, o sujeito digita: C:\> type carta.txt Os códigos acrescentados ao texto alteram a tecla x (ou qualquer tecla , não importa) de forma que, ao invés de escrever x na tela ela acionar uma macro que ativa a formatação do disco rígido. Existe um software, chamado CHK4BOMB, disponível no subdiretorio msdos/vírus de qualquer "mirror" do Simtel20 que ajuda a detectar a existência desse tipo de programa. Os anti virus comuns dificilmente detectam, a não ser em casos mais famosos.
Modus Operandi ate' algum tempo atrás, os vírus se dividiam em dois grupos principais:
Vírus de disco - ex: Stoned, Michelangelo, Ping-Pong Infectam o BOOT-SECTOR. Esta e' a parte do disco responsável pela manutenção dos arquivos. Da mesma forma que uma biblioteca precisa de um fichário para saber onde se encontram os livros, um disco precisa de ter uma tabela com o endereço dos dados armazenados. Qualquer operação de entrada e saída (carregamento ou salvamento de um arquivo, por exemplo), precisaria do uso dessa tabela. Salvar ou carregar um arquivo num disquete infectado possibilitaria a ativação do vírus, que poderia infectar outros disquetes e o disco rígido.
Vírus de Arquivo - ex: Jerusalém, Athenas, Freddy Infectam arquivos executáveis ou de extensão .SYS, .OVL, . MNU, etc. Estes vírus se copiam para o inicio ou fim do arquivo. Dessa forma, ao se chamar o programa X, o vírus se ativaria, executaria ou não outras tarefas e depois ativaria o verdadeiro programa.
Atualmente existem uma terceira e quarta categorias
Vírus Multi-parti te - ex: Whale, Natas Infectam tanto o disquete quanto os arquivos executáveis. São extremamente sofisticados.
Vírus como o DIR-II Alteram a tabela de arquivos de forma a serem chamados antes do arquivo programa. Nem propriamente dito são FILE-INFECTORS nem são realmente BOOT-INFECTORS muito menos multi-partites.
Outras características e um pouco de história:
Vírus residentes e não-residentes: Os primeiros vírus eram de concepção muito simples e funcionavam como programas auto-reprodutores apenas. O usuário usava o programa infectado, acionava o vírus, que infectava todos os outros programas no subdiretorio ( Vírus caçadores, que procuram programas em outros subdiretorios são muito bandeirados) e depois colocava para funcionar o programa (o que o usuário realmente queria usar). Ponto final. Se um programa não infectado for acionado, ele não será' infectado.
Os Vírus residentes, mais sofisticados permanecem na memória após o uso do programa infectado. Portanto podem infectar qualquer outro programa que for chamado durante a mesma sessão de programação, ate' que o computador seja desligado. Como o sistema operacional e' basicamente um programa destinado a tornar comandos como DIR, TYPE, etc inteligíveis para os chips do computador, ele se torna objeto de infecção. Neste caso, toda vez que o computador for ligado, o vírus sera' carregado para a memória, podendo infectar qualquer programa que for usado. A grande maioria dos vírus atuais pertence a este tipo de vírus.
Quanto a detecção:
Stealth - ex: Athenas, 4096, GenB, etc Um vírus, como todo programa ocupa esgaço em disco. O código, em linguagem de maquina, mesmo ocupando um esgaço mínimo, aumenta o tamanho do arquivo. Ao se copiar para dentro do programa a ser infectado, duas coisas aconteciam: o programa aumentava de tamanho e alterava a data de gravação. No caso do vírus Jerusalém, por exemplo, o programa "engordava" a cada execução, chegando a se auto-infectar ate' tamanhos absurdos. Para checar se o arquivo estava infectado era so' fazer uma copia do mesmo e acionar esta copia. Depois bastava executar o comando "DIR" e o resultado mostraria que a data, hora de criação e o tamanho do programa eram diferentes. Com o 4096, isso não acontecia. Uma vez residente na memória, o vírus checava para a existência de uma copia sua no arquivo .exe ou .com e restaurava uma data quase idêntica de criação de arquivo. Dessa forma, so' um antivirus ou um usuário atento descobria a diferença.
O vírus ATHENAS - já' e' algo mais sofisticado. Ele altera tudo de forma a evitar que um Antivirus detectasse a diferença. Em outras palavras, seria necessário que o vírus não fosse ativado para que fosse detectado. Se o arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou .exe de um disco rígido seriam infectados, cedo ou tarde. O usuário poderia usar o antivirus que quisesse. O virus continuaria invisível. Dai o uso do adjetivo "STEALTH", do avião americano invisível ao radar. Como alguns desses vírus verificam ate' se já' estão presentes na memória, o funcionamento do computador não diminuiria de velocidade o suficiente para alertar o usuário.
OBSERVAÇãO: Uma vez que o vírus Stealth esconde sua presença de qualquer programa antivirus, uma forma de descobri-lo e' justamente guardar um disquete com o programa infectado. Se o programa antivirus do micro "suspeito" de infecção não o descobrir a presença de virus no disquete, então provavelmente o micro esta' infectado. Isso funciona principalmente com versões mais novas de um mesmo vírus, como o Athenas, o GenB (vulgo Brasil), etc..
Companheiros (Companion) São virus que não infectam programas .exe. Ao invés disso criam um arquivo de extensão .com, cujo o atributo e' alterado para Hidden (escondido). Como o arquivo .Com e' executado antes do .exe, o virus entra na memória e depois chama o programa. E' fácil e difícil de detectar. Por não alterar o programa, escapa a algumas formas de detecção, como a checagem do CRC. Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH mostra todos os arquivos escondidos. Mas para se ter certeza, so' quando o BOOT e' feito com um disquete limpo de virus, já' que nada impede de um vírus Companion ser tambem Stealth (ou poli- morfico, ou multi-parti te, tem vírus para todos os gostos).
Polimorficos - ex: Natas, Freddy, etc No tempo em que os primeiros antivirus contra o Jerusalém apareceram, alguns "espertos" resolveram criar novas versões indetectaveis atraves da alteração do virus. Como o antivirus procura uma característica do virus para dar o alarme, essa modificação obrigava a criação de um novo detector de virus. Isso e' bastante comum. Novas versões de virus são feitas a cada dia, aproveitando-se esqueletos de antigas versões, tendo alguns virus gerado verdadeiras "famílias" de "parentes", de versões mais antigas. O próprio virus Michelangelo seria uma versão"acochambrada" do virus Stoned. A ultima moda (para os projetistas de virus) e' o uso da poliformia. O virus se altera a cada vez que infecta um novo arquivo. Dessa forma o virus cria N variações de si próprio. Hipoteticamente, se uma variações escapasse ao antivirus, ela poderia re-infectar todos os arquivos novamente.
Retrovirus - ex: Goldbug, Crepate São virus que tem como alvo antivirus, como o Scan, Clean, CPAV NAV, ou qualquer arquivo que contenha as strings AV, AN, SC, etc no nome. Pode ser o objetivo principal ou paralelo. O Crepate, por exemplo, e' multipartite (infecta tanto o boot como arquivos executáveis). Alguns simplesmente deletam os arquivos que contem o CRC dos programas analisados (uma espécie de selo que alguns anti virus, como o NAV, por exemplo, criam: um arquivo onde varias caracteristicas pre-infeccao (tais como tamanho, data, atributos) ficam armazenadas). Um ou
outro anti-virus tem código p. desativar anti-virus residentes, como o V-SHIELD e o VACINA e passar despercebido.
Virus-anti-virus - Existem virus que se especializam em detectar e infectar arquivos já' infectados por outros virus menos sofisticados.

MÉTODO DE DETECÇÃO : Como vimos anteriormente, os virus mais antigos deixavam rastros que possibilitavam sua descoberta:
sintomas:
Demora maior na execução de um programa. O sistema fica mais lento como um todo.
Aumento no tamanho dos programas.
Alteração na data de criação do programa. Quando o virus infecta, o programa aparece uma data de criação recente.
No caso de virus de disco, e' possivel que alguns arquivos do disquete pura e simplesmente desaparecem
Igualmente o aparecimento de mensagem acusando Bad Cluster em todos os disquetes usados (não confundir com o que acontece com um disquete de 360k formatado por engano para 1.2 de capacidade).
Nos tempos do virus Ping-pong, essa era uma dica de infecção.
Disquete funciona em PC-XT mas não funciona em um PC-AT. Anti virus alerta para modificação em seu arquivo (os novos programas anti virus não funcionam quando são modificados pela infecção de um virus). Não se deve utiliza-los mesmo quando possivel se houver virus na memória, pois isso infectado todos os arquivos que forem examinados. Utilizacao de ferramentas como Norton Utilities ou PCTOOLS para visualização do setor de Boot mostram modificações (so' para quem sabe a diferença).
Programa Windows deixa de funcionar ou congela repetidamente.
Para se "limpar" um virus O mais simples e' o uso de um anti virus, como o Scan, NAV, Thunderbyte, ou F-Prot.
Cada um destes tem sua própria forma de utilizacao. Atualmente o Thunderbyte e o F-Prot estao ganhando uma ótima reputação, embora o Scan ainda seja capaz de proezas na limpeza de virus polimorficos, por exemplo. O Norton Anti virus possui em seu pacote um programa denominado Vacina, que, como o VShield (da mesma firma que fabrica o Scan) vigia para a entrada de virus e e' recomendável. O NAV em si tem os seus defensores, mas alguns o consideram um desperdício de espaço na Winchester. O F-Prot possui um banco de dados contendo descritos de virus de computador já' analisados por eles. A firma edita tambem um boletim sobre virus, disponível em ftp site e em www, com boas descritos sobre novos problemas causados por novos tipos de virus. O Scan da MCafee alterou recentemente o formato original de programa. Alguns o consideram mais vulneráveis a ação de virus anti-virus (os chamados retro-virus). Ate' a versão 6.2 do DOS existia um anti virus da Central Point junto com o pacote. Gerou um rebulico pela quantidade de falso-positivos (dava alarmes falsos) que gerava, quando usado em conjunto com outros anti virus. Sua eficácia era igualmente reduzida pelo fato de que não e' fácil de atualizar. Novos tipos de virus passariam indesejáveis.
Precauções: Antes de qualquer tentativa de se limpar um micro ou um disco deve-se dar um BOOT com um disquete limpo de virus. Este disquete, se não existir, deve ser feito em algum outro micro onde o virus não apareceu, atraves do comando SYS. Após a copia do sistema operacional para o disquete, copia-se o anti virus para o disquete e coloca-se a etiqueta de protecao. Desliga-se o micro e liga-o novamente como o novo disquete de sistema, (devidamente protegido contra gravação atraves da etiqueta) no drive A:. Sabendo-se que determinado disquete contem virus de disco, a forma correta de se limpa-lo sem recorrer a anti virus e' atraves do comando SYS do DOS. E' necessário que o disquete tenha espaço suficiente para que o comando funcione, portanto se usa o PCTOOLS ou algum outro programa copiador de arquivos para copiar os arquivos antes de executar o comando SYS A: ou SYS B:. O ideal e' formatar o disquete. No caso do disco rígido infectado com virus de disco, e' necessário garantir o salvamento ou o back-up dos dados mais importantes, como:
arquivos de configuração: autoexec.bat, config.sys, win.ini, etc arquivos de dados: aqueles com os quais você trabalha desde o ultimo back-up. Em seguida, usar o comando MIRROR para fazer uma copia do boot sector do disco em disquete (que ficara' infectado, mas poderá' ser limpo depois com mais facilidade). Feito isso, pode-se apartir do prompt do DOS no drive C: digitar: C:\> \dos\fdisk /mbr Imediatamente se desliga o micro, para evitar reinfeccao. Essa técnica funciona em muitos casos, mas o inteligente e' executa-la tendo inicializado o micro com um disquete limpo de virus no drive a: (não existe nada melhor). No caso de micro contaminado por virus de arquivo polimorfico(NATAS ou FREDDY), o ideal e' a re-instalacao de todos os arquivos infectados, começando pelo command.com. Arquivos texto poderão ser salvos.

ALGUMAS DICAS PARA O SCAN : Pode-se pesquisar muitos disquetes de uma so' vez com a seguinte linha de comando: C:\> scan a: /many
Para se evitar o tempo que o anti virus perde checando a memória: C:\> scan a: /nomem Para se ter as instruções do Scan e do Clean em português existe um arquivo de extensao .msg, disponível na maioria dos sítios que possuem anti virus. E' so' re nomear o arquivo para MCAFEE.MSG e automaticamente o scan adota as mensagens daquela linguagem. EX: C:\> ren spanish.msg mcafee.msg As ultimas versões do Scan (2.3) tem a lista de virus e o anti virus Clean incorporado. ex: scan c: /clean Automaticamente limpa os arquivos infectados ex: scan /vlist Exibe uma lista dos virus que esse anti virus detecta (e/ou limpa).

COMO FUNCIONA UM PROGRAMA ANTI - VÍRUS : Pouca gente que trabalha com isso desconhece.
Sào três(3) as principais formas de se detectar a ação de um virus num sistema atraves do programa anti virus.
1-Vigiando : a memória do micro para ação de qualquer novo programa (quando o virus e' residente, ele ocupa espaço na memória e pode ser rastreado atraves de programas como o CHKDSK ou MEM /c) ou outros sinais de infecção.
2-Mantendo : um arquivo com as caracteristicas do(s) arquivos antes da infecção. Assim, como se fosse um policial, ele ele examina o CRC, a data de criação do arquivo, o tamanho e outras caracteristicas cuja alteração denunciaria ação indevida.
3-Abrindo : cada um dos arquivos passíveis de infecção e examinando o código do programa. Lembrar que o virus e' um programa de computador que se copia sem intervenção humana para outro programa ou boot sector. Um programa e' composto de as vezes milhares de instruções em linguagem de baixo nivel.
O que o programa anti-virus faz e' ler esse "texto" dos arquivos executáveis (de extensao .COM, .EXE ou .OVL, entre outros) e procurar por uma linha de código característica de virus de computador. O programa, ao encontrar uma semelhança entre o código do virus e a linha de código que ele tem armazenada na memória como pertencente a um virus, acionar a mensagem de alerta para o usuário. Observação: Alarmes falsos - Algumas vezes quando o anti virus não foi bem testado, o programa pode classificar outro programa como infectado, so porque ele encontrou essa parte do código, sem que exista nenhum virus no computador (a isso se chama o falso alarme). Esse tipo de busca e' tambem feito na memória do micro, algumas vezes tambem com o mesmo efeito, sendo famoso o anti virus disponível com a versão 6.2 do MSDOS. Se fosse usado junto com o anti virus SCAN versão 108 (não tenho certeza), este emitia a mensagem de que o virus "Protector" estava ativo na memória (quando na verdade o anti virus e' que estava).

PARA SE ESTUDAR UM VÍRUS : Para as almas corajosas que querem, por uma razão ou outra colecionar virus para estudo (atitude que aprovo, desde que o fim seja o de aprender alguma forma de se livrar deles de forma mais fácil), aqui vão algumas dicas.
Em primeiro lugar, nunca estudar o virus em um micro contendo arquivos de outra pessoa com dados valiosos que possam ser perdidos. Se for usar o seu micro, certifique-se de que tem todos os arquivos back-up guardados e faca novo BACK-UP antes do inicio do trabalho.
Segundo lugar. Tenha o virus copiado para um disquete. Isso e' feito atraves da copia do arquivo infectado para um disquete. No caso de virus de disco, formatando um disquete (com sistema operacional, usando format a: /s na linha de comando).
Terceiro lugar. Tenha um disquete de Boot, limpo de virus a mao. De preferência dois, todos com etiqueta. Quarto: modifique o autoexec.bat no disquete, adicionando o comando subst da seguinte maneira: Ex: subst c: a: subst b: a: subst qualquer outro drive a:
Obs:
Em teoria isto vai impedir o virus de se pro pagar para o drive C:, mas o melhor ainda e' desligar a Winchester mexendo na configuração da BIOS ou via desligamento da placa da winchester. Feitas essas preparações, comeca-se a testar o virus. O ideal e' ter um arquivo de isca, com um código simples como esse:
{programa retirado da revista Virus Report - nr 4 pg 4 }
org 100h code segment assume cs:code, ds:code programa proc inicio:mov ah, 4Ch mov al, 0h int 21h programa endp code ends end inicio
A ideia e' ter um programa cujo codigo nao confunda na hora de examinar. Na verdade, o programa poderia ser bem menor. So' que alguns virus se recusam a infectar programas com menos de 500 bytes. Compilar com o MASM ou TASM. Havendo tal programa que chamarei de isca, deve-se renomea-lo para isca.xxx antes do inicio das experiencias.

MÉDODO PARA AVERIGUAR O COMPORTAMENTO DE UM VÍRUS :
1) Antes de ativar o programa infectado Digitar; dir isc*.* >> teste.doc copy isca.xxx isca1.com arquivo <------------ aciona-se o arquivo virotico echo "arquivo virotico ativado" >> teste.doc ^ | | (Comando para inserir essa linha no arquivo de registro sem editor de texto)
2) Uma vez o arquivo ativado ( o virus provavelmente na memória) Digitar: dir isc*.* >> teste.doc isca1 echo "isca1.com ativado" >> teste.doc dir isc*.* >> teste.doc
3) realizar novo boot para tirar o virus da memória Digitar: echo "situação pós boot" >> teste.doc dir isc*.* >> teste
Podem ser estudados:
- O aumento do arquivo pós a infecção
- As diferenças na quantidade de memória livre existente pós ativacao (usando o CHKDSK e o MEM)
- O tipo de arquivos que infecta e se tem um tempo de incubacao (tempo durante o qual nada acontece).
- Colocar vários arquivos juntos de uma so' vez, para se determinar se e' fast-infector.
- Pode ser considerado "Stealth" se conseguir esconder sua presença.
IMPORTANTE : Não se deve em hipótese alguma executar o Debug com o virus na memória do micro.
Obs2: O virus pode ser considerado Stealth (furtivo) se as alterações no arquivo ficarem visíveis com um boot feito com disquete limpo de virus (no caso de um que ataque arquivos). Os virus de Boot são estudados dando-se o boot com um disquete infectado com o mesmo. Usar-se o comando SYS do DOS para se implantar o sistema operacional no disquete infectado apagara' o virus no disquete

PORQUE OS VÍRUS SÃO ESCRITOS :
O chamado virus de computador e' um software que sempre capta atenção e estimula a curiosidade.
Esta pergunta foi feita na convenção de Hackers e fabricantes de virus na Argentina. A primeira resposta foi:
- Because it's fun. (por diversão, entretenimento)
Outras respostas:
- Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind "Os virus de computador são a primeira forma de vida feita pelo homem"). Esta proposta e' seguida por vários cientistas, incluindo um que pôs a disposição seu virus (intensivo) para aqueles que estivessem interessados. Existe uma revista eletrônica dedicada a isto, chamada Artificial Life e vários livros sobre o assunto. Em suma algo sério.
- Para descobrir se são capazes de fazer isso ou para mostrarem para os colegas do que são capazes de fazer com um micro. Testar seus conhecimentos de computação.
- Por frustração ou desejo de vingança. Muitos autores de virus são adolescentes. Um jovem (inconformado com o fato de que o pai não esta' afim de comprar aquele kit de multimídia para o seu micro), usa o que sabe para ... * Esta hipótese e' pura imaginação. Mas a vontade de sublimar uma raiva atraves de atos de vandalismo existe, como demonstram os pichadores e quebradores de telefones.
- Curiosidade. Algo muito forte, mesmo para aqueles que tem pouco conhecimento de informática. Uma das melhores formas de se aprender sobre virus e' "criando" um.
- Para conseguir acesso a BBSes de virus. Existem BBSes que possuem bibliotecas de virus e códigos fontes como a Viegas BBS (agora desativada) e outras nos EUA e em outros paises. O usuário podia ter acesso a coleção de virus se fornecesse um novo. Muitos criavam ou modifi- -cavam virus já' existentes p. ter esse acesso (alias dois terços dos virus já' registrados são resultado desse intento, sendo muitos considerados fracos ou pouco sofisticados, comparados com os originais).
- Para punir aqueles que copiam programas de computador sem pagar direitos autorais.
- Para conseguir fama.
- Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o uso de uma outra arma de "atrapalhamento" do sistema de computadores do inimigo. Ainda assim, os virus p. uso militar são uma possibilidade.
- etc, etc Minha opinião pessoal e' que as pessoas se interessam por virus de computadores da mesma forma que curtem assistir filmes de guerra e colecionam armas de fogo ou facas. O fato de que a pessoa coleciona virus de computador ou cria novos especimes não indica uma vontade de distribuir seus "rebentos" para o publico em geral.

VÍRUS BENÍGNOS : Existem. Um deles e' o KOH, criado por King of Hearts, um hacker mexicano. Ele e' um virus que criptografa tudo, de acordo com uma senha escolhida pelo usuário. Desenvolvido com o algoritmo IDEA, e' teoricamente difícil de ser "quebrado". O utilizador desse virus pode "pedir" ao virus para não infectar disquetes ou disco rígidos e controlar sua ação, portanto. Usa técnicas"stealth" e e' invisível portanto a anti virus, podendo mesmo ajudar a evitar alguns tipos de virus. Outro, compacta, a semelhança do programa PKLITE, todo e qualquer arquivo executável que "infecta". O único virus que "reduz" o espaço físico que "ocupa". Sem prejudicar os programas que compacta.

EMULADORES DE VÍRUS : São programas que simulam a ação de virus de computador, para treinamento ou diversão (a custa dos outros). Existe um, antigo, que faz aparecer umas aranhas na tela que "comem" todas as letras do texto digitado. Outro exibe mensagens de erro, com os seguintes dizeres:
1- Erro tal. Sua Winchester esta' cheia de agua.
2- Barulho de Winchester "inundada" aparece no alto-falante do micro.
3- O sistema operacional avisa que vai centrifugar o disco rígido para tirar a agua. Barulho de centrifugacao no alto-falante do micro.
4- Volta o sistema ao normal.
Durante esse tempo todo, nada aconteceu com o seu micro. O teclado ficou travado, mas nenhum arquivo foi deletado, nem mudado de lugar. Mas quem não conhece o dito fica em pânico, e se e' o usuário"TAO" (aquele que aperta bo"TAO" de reset com a ideia de que vai ganhar presente depois), e' capaz de desistir de aprender computação. Mais útil e' o Virsim2, um emulador de virus feito especialmente para treinar gente no combate a anti virus. O programa produz arquivos inofensivos (que são detectados como se fossem infectados por diferentes tipos de virus, ver sessão sobre o funcionamento do Scan). Tambem e' capaz de "infectar" um disquete com um boot virotico (que não infecta o disco rígido ou outros disquetes) ou simular o efeito de um virus na memória. A instalação do programa e' sofisticada, com uma voz (em inglês) explicando o que o programa esta' fazendo no momento, e isso funciona sem placa sound-blaster. Engraçado e' que em algumas firmas onde este programa foi usado constatou-se que nenhum dos arquivos ficticios infectados foi encontrado pelos funcionários. Constatou-se uma apatia total pelo uso de programas anti-virus (já' que não havia virus, não havia medo de virus, então não havia uso dos programas anti-virus instalados).
REVISTAS e fontes de informacoes para estudiosos de virus: Existem. De um lado a Virus Bulletin, publicada na Inglaterra uma das maiores autoridades no assunto, mas e' paga (75 Libras) anuais, creio. Existe o Virus Bulletin da Datafellows, que e' disponível via ftp e WWW. Faz parte do lancamento de cada nova versao do antivirus F-Prot. Contem bastante material interessante. O unico problema e' que a enfase sao de virus Nordicos, o que e' compreensivel, ja' que o programa vem de la' (por sinal e' bastante bom e atualizado regularmente). A revista argentina Virus Report tambem e' uma excelente fonte de informação sobre tudo o que diz respeito a virus e segurança eletrônica. E' a revista dos hackers argentinos e patrocinou recentemente um encontro internacional, do qual participei com uma palestra sobre ensino a distancia, trabalho feito pela ESCOLA DO FUTURO. Em Buenos Aires haviam mais duas ou três revistas sobre virus de computador em formato eletrônico, mas não tive chance de conseguir nenhuma copia. Atraves da Internet e' possivel se conseguir, no sítio ftp do Cert, os arquivos Factory.zip, Virus.101-4, e o VSUM fontes quase básicas de informacoes sobre virus. O arquivo Factory.zip delinea a mecânica de funcionamento da fabrica de virus na Bulgária, pais responsável por abrigar progra- madores que muito contribuiram para os problemas do mundo ocidental ate' bem depois da queda do muro de Berlin. Lendo esse arquivo sabemos a origem do virus DIR-II e de outros. Existem varias revistas que ensinam técnicas de fabricação de virus e manuseio. As mais conhecidas são a 40hex, a NUKE, e a CriPT, mas se não me engano esporádico pode-se encontrar artigos sobre essas técnicas na Phrack, NIA e CUD. Existe tambem um arquivo denominado Hack-report, com um relato de quais são os ultimos cavalos de Tróia e bombas-logicas que estao sendo distribuidos ate' a publicação do artigo. Uma das primeiras revistas sobre o assunto foi a CPI - Corrupted Programming International, que tinha ate' mesmo exemplos de listagem em Assembly, Turbo Pascal, Basic e Batch File Programming, pra mostrar que qualquer linguagem pode produzir estas monstruosidades. Alguém escreveu um livro aproveitando isso, aqui no Brasil, mas acho que nem em sebo se encontra. A revista 2600 e a HACK-TIC tambem as vezes publicam artigos sobre isso, so' que em papel. Os grupos de discussão na Internet V-alert e Comp.virus são bastante úteis p. alertas sobre novos virus e discussão de outros recentes ou não. Seu FAQ (Frequent Answered Questions) texto e' uma excelente fonte p. quem não conhece muito sobre o assunto. Vasselin Bontchev, seu moderador e' uma das maiores autoridades no assunto. Ouvi dizer que existem um grupo de discussão IRC que trocam dicas on-line sobre fabricação de virus na Internet, mas não conheço maiores detalhes.

NOMENCRATURA DE VÍRUS : Não existe uma convenção sobre o assunto. Enquanto os fabri- cantes de virus costumam trocar dicas e ideias, os fabricantes de anti virus normalmente se fecham em si, cada qual defendendo o seu mercado. O que e' Athenas para o Scan da Mcafee Software, e' Trojector para o F-Prot do Friedriek Skulasson. O maior documento, e em formato hipertexto, sobre virus, e' o VSUM, produzido pela Patricia Hoffman. Como parece que ela recebe dinheiro da Mcafee, ou porque sua descrição e' duvidosa (não sei o porque na verdade), o fato e' que este documento não e' aceito pela comunidade de pesquisadores anti-virus. Pelo menos não o e' na sua totalidade. Existem vozes discordantes. Num de seus boletins, a firma que produz o F-Prot conta tudo sobre como elabora a nomenclatura de seus virus, mas se trata de uma leitura chata. O "nosso" virus Brazil não aparece na lista deles nem do Scan como tal, por exemplo. Já' um virus chamado Xuxa, muito raro (parece que foi escrito so' p. fins de divulgação) e' chamado como tal. As vezes, o virus e' nomeado por se tratar de uma modificação de outro já' existente ou pelo programa que o produziu (como acontece com os virus produzidos com a ajuda do VCL - ver os kits de producao de virus). As vezes o virus contem um sinal (ele tem que saber como identificar um arquivo virotico, p. não infectar repetidas vezes o mesmo arquivo) e esta característica"batiza" o virus.

PROGRAMAS "FALSOS" : Algumas vezes, aparecem "ultimas versões" ou versões"desprote- gidas" de softwares muito utilizados. O sujeito copia, usa em casa, e .. descobre que o software e' na verdade um programa de formatação fisica de Winchester disfarçado de outra coisa. Esse e' o tipo de virus classificado como "cavalo de Tróia" ou "bomba-logica". Na Viegas BBS havia alguns programas do genero, inclu- -sive um "Norton Virus Detector", antecipando em alguns anos a producao do programa anti virus do Norton. Esse tipo de fal- sificacao aconteceu muito com o Scan, o Pkzip e acho que ate' com o Arj. O programa na verdade instalava um virus ou fazia alguma coisa ruim com os dados da winchester. Um caso que deu muito o que falar foi o do "AIDS-virus". Era um programa com informacoes sobre a AIDS. O sujeito respondia algumas perguntas, recebia alguma informacao geral sobre o virus (biologico) e tudo bem. So' depois descobria que todos os nomes, todas as extensoes de arquivo, tudo o que estava na Winchester havia sido alterado. A seguinte mensagem aparecia:
"It is time to pay for your software lease from PC Cyborg Corporation. Complete the INVOICE and attach payment for the lease option of your choice.If you don't use the printed INVOICE, then be sure to refer to the important reference numbers below in all correspondence. In return you will recieve: - a renewal software package with easy to follow, complete instructions; - an automatic, self installing diskette that anyone can apply in minutes."
Isso podia ser uma propaganda contra software pirata, mas na verdade o software foi distribuido gratuitamente como brinde numa convencao internacional sobre AIDS e tambem numa revista de informatica tipo PC-Qualquer coisa. Como ja' foi dito acima, a unica forma de prevencao contra esse tipo de programa e' um software chamado CHK4BOMB, disponivel no subdiretorio virus de qualquer "mirror" do Simtel20. Ainda assim nada realmente e' capaz de garantir que um programa e' ou nao um "cavalo-de-troia".

LABORATÓRIOS de fabricação de vírus : Existem programas feitos especificamente com o proposito de auxiliar iniciantes na arte de fabricar virus sofisticados. Sao os "Virus Construction Tools". Existem bibliotecas de rotinas prontas que podem tornar um virus simples polimor- fico (mais dificil de detectar) sem grande dificuldade p. o programador. E programas que fazem o servico completo ao gosto do "inteligente" que quiser construir seu proprio "monstro". O primeiro foi o GENVIR, construido e distribuido na Franca. Lancado como uma especie de Shareware, e' cheio de menus, mas na hora de produzir o virus ele para. Para receber uma copia que realmente faca o trabalho, a pessoa deveria enviar 120 francos para um endereco na Franca. Um grupo alemao o "Verband Deutscher Virenliebhaber" escreveu o VCS (Virus Construction Set). Esse incorpora um texto escolhido pelo usuario num virus simples, que apos se reproduzir um numero x de vezes, deleta os arquivos de configuracao, como AUTOEXEC.BAT e CONFIG.SYS. Outros kits mais "completos" e "sofisticados" sao o VCL (Virus Construction Laboratory), o PS-MPC (Phalcon/ Skism - Mass Produced Code Generator), o IVP (Instant Virus Production Kit) e o G2 (G ao quadrado). Alguns chegam a produzir virus com caracteristicas avancadas, como cripto- grafacao e otimizacao de codigo virotico(!). Como os fabri- cantes de antivirus tambem se mantem atualizados, os pro- gramas antivirus sao atualizados de forma a detectar os virus produzidos por esses laboratorio.

ALGUMAS CRENDICES : Contaminacao por Modem de computador: Nao existe. Pode-se conseguir um numa BBS ou com um amigo atraves da copia de um programa infectado, mas e' tecnicamente impossivel um micro infectar outro atraves do uso de modem.
Contaminacao por cima da etiqueta de protecao: Tambem impossivel. O que pode ter acontecido e' a infeccao ter sido descoberta depois da colocacao da etiqueta, coisa que acontece com virus "stealth". Essa trava impede a gravacao no disquete e isso funciona a nivel de hardware, nao de software.
E' necessario formatar todos os disquetes para se livrar do virus XXXX: Nem sempre. Tudo depende de se ter ou nao o "disquete de sistema limpo de virus". Com ele e' possivel so' apagar os programas infectados e evitar esse trabalho. De acordo com a minha experiencia e' possivel usar uma ferramenta como o PCTOOLS ou o XTREE para "salvar" os arquivos de dados, sem aumentar a transmissao. Em alguns casos pode ser mais facil formatar e re-instalar tudo do que fazer a limpeza, mas nem sempre.
So' software pirata contem virus Nem sempre. O Michelangelo foi distribuido pela primeira vez dentro de 20.000 disquetes distribuidos por uma firma de computacao a seus usuarios. O computador que fazia as copias estava infectado. Houve tambem o caso de um programa famoso de Desktop Publishing cujos disquetes-matriz foram
infectados na casa do sujeito encarregado de dar uma ultima olhada, resultando que toda a producao foi infectada.
Calendario de Virus: Essa e' uma favorita da imprensa. Nao se fazem mais as reportagens sobre supersticao na Sexta-feira 13 (como antigamente). Mas com certeza se fazem reportagem sobre o virus Sexta-Feira 13 e o problema dos virus que tem dia certo para ativar. A maior incidencia de virus no Brasil, de acordo com bate-papos com gente que faz acessoria de informatica sao de virus como o Stoned, o Michelangelo, o Jerusalem, o Athenas (trojector) e ultimamente o Freddy. Aqui e ali ocorrem surtos de alguns virus novos, como o GV-MG e o Daniela. Desses, so' um ou dois tem ativacao por dia do ano. O Michelangelo, 6 de Marco, e o Sexta-Feira 13. O pro- -blema e' que se a pessoa for esperta e fizer uma check-up regular no micro, com qualquer programa como o Vshield ou Vacina (ate' mesmo o MSAV do Dos 6.2 e' o suficiente para isso), ira' descobrir o intruso. Para se ter uma ideia, existem versoes modificadas tanto do sexta-feira 13 como do Miguelangelo, que detectam quando o dono do micro desligou para "evitar" o dia fatidico. Funcionam no dia ou na semana seguinte.
Virus "Good Times": Esta e' aconteceu na Internet, mas nao duvido que tenha acontecido tambem em BBSes por ai' afora. Era um aviso sobre um virus que apagava tudo no disco rigido, veicu- lado em correio eletronico. Funcionava como uma daquelas correntes da felicidade. O sujeito recebia o aviso e re-enviava para todo mundo que conhecia, e esses tambem re-enviavam. O efeito do virus foi "torrar" a paciencia e ajudar a encher o correio eletronico (em alguns servicos de BBS paga-se por quantidade de correspondencia recebida) de muita gente. Depois veio uma segunda onda, a daqueles que avisavam que o virus nao existia.

 BIBIOGRAFIA de onde vieram as informações
The Bulgarian Factory (factory.zip) Vasselin Bontchev
Revistas Eletronicas 40hex, NUKE, Phrack, LoD, CuD, CPI - VSUM - Patricia Hoffman
The Little Black Book of Computer Virus - Mark Ludwig
Computer Viruses, Artificial Life Evolution - idem -
2600 Hacker Quaterly - Hack-Tic - Virus Bulletin - numeros 08, 09, 15 e 16 -
Hacker Bulletin -
Coletantea de artigos Virus.101 - 104
Aids Attack
artigo Virus Report - numero 4
Conferencias da Reuniao de Hackers na Argentina.
Endereços e referencias para aqueles que decidirem se aventurar na rede:
AlDigest alife@cognet.ucla.edu ftp polaris.cognet.ucla.edu
Alife mxserner@ubik.demon.co.uk ftp.informatik.uni-hamburg.de pub/virus/texts ftp.demon.co.uk
40hex ftp.eff.org
Phrack ftp.eff.org www.freeside.
Free counter and web stats © 2000-2008 Rebelancer.com / Rebelancer.com.br