| -
informações extraídas do site Barata Elétrica
01-
Definição
Antes de mais nada, e' preciso dizer que praticamente qualquer
coisa de errado que acontece com um computador durante uma sessão
de trabalho e' atribuída a um virus, independente da causa
estar no programa ou na falta de experiência do usuário.
De acordo com uma pesquisa da PC Magazine, 50 % dos prejuízos
em software são culpa de mal uso ou independência.
Qualquer um que atualizá o software sabe os problemas de
re aprender a mexer com novos botões de salvamento de trabalho
ou teclas de saída e apagamento que co lidem com o uso
antigo de outro software. O usuário inexperiente destrói
muito mais dados do que qualquer virus. Mesmo programas bem desenvolvidos
tem defeitos que destroem o trabalho por conta de alguma falha
no lançamento. Normalmente são as versões
X.0. Qualquer pessoa que utilize um software recem-lancado (normalmente
numero ponto zero) se arrisca a ter dores de cabeça que
não serão culpa de virus de computador e que ninguém
saberá' como resolver. A versão 5.01 de qualquer
programa e' quase sempre a versão com correção
dos erros encontrados na versão 5.0. Para quem não
acredita e' so' perguntar a alguém que comprou a versão
6.0 do Wordperfect para Windows logo quando saiu. Ou a versão
6.0 do MSDos, a versão 3.0 do Windows, ou a versão
5.0 do Clipper. Saiu um artigo na folha de Informática
do Estado de São Paulo (13/02/94) falando sobre o Pentium
e tambem como alguns softwares recem-saidos podem apresentar defeitos,
ou bugs, tão destrutivo's quanto um virus. Um virus de
computador e' um programa que pode infectar outro programa de
computador atraves da modificação dele de forma
a incluir uma copia de si mesmo (de acordo com Fred Cohen, autor
de "A Short Course on Computer Viruses"). A denominação
de programa-virus vem de uma analogia com o virus biológico,
que transforma a célula numa fabrica de copias dele. Para
o publico em geral qualquer programa que apague dados, ou atrapalhe
o trabalho pode levar a denominação de virus. Do
ponto de vista de um programador, o virus de computador e' algo
bastante interessante. Pode ser descrito como uma programa altamente
sofisticado, capaz de tomar decisões automaticamente, funcionar
em diferentes tipos de computador, e apresentar um indice mínimo
de problemas ou mal-funcionamento. Stephen Hawking se referiu
ao virus de computador como a primeira forma de vida construída
pelo homem. De fato: o virus e' capaz de se reproduzir sem a interferência
do homem e tambem de garantir sozinho sua sobrevivência.
Como a auto-reproducao e a manutenção da vida são
para alguns cientistas, o básico para um organismo ser
descrito como vivo. O virus Stoned e' um exemplo que resiste ate'
hoje, anos depois da sua criação. Sendo o virus
um programa de computador sofisticado, ainda que use técnicas
de inteligência artificial, ele obedece a um conjunto de
instruções contidas no seu código. Portanto
e' possivel se prevenir contra seu funcionamento, conhecendo seus
hábitos.
Bomba Lógica e Cavalo de Tróia: o cavalo-de-troia
se assemelha mais a um artefato militar como uma armadilha explosiva
ou "booby-trap". O principio é o mesmo daquele cigarro-explosivo
ou de um daqueles livros que dão choque. Não se
reproduz. A expressão cavalo-de-troia tambem é'
usada para com programas que capturam senhas sem o conhecimento
do usuário. O criador do programa pode usufruir da senha
de acesso capturada. Um exemplo de bomba-logica é um arquivo
texto "armadilhado" que re defina o teclado ao ser lido pelo comando
TYPE. Em um exemplo clássico, o sujeito digita: C:\> type
carta.txt Os códigos acrescentados ao texto alteram a tecla
x (ou qualquer tecla , não importa) de forma que, ao invés
de escrever x na tela ela acionar uma macro que ativa a formatação
do disco rígido. Existe um software, chamado CHK4BOMB,
disponível no subdiretorio msdos/vírus de qualquer
"mirror" do Simtel20 que ajuda a detectar a existência desse
tipo de programa. Os anti virus comuns dificilmente detectam,
a não ser em casos mais famosos.
Modus Operandi ate' algum tempo atrás, os vírus
se dividiam em dois grupos principais:
Vírus de disco - ex: Stoned, Michelangelo, Ping-Pong Infectam
o BOOT-SECTOR. Esta e' a parte do disco responsável pela
manutenção dos arquivos. Da mesma forma que uma
biblioteca precisa de um fichário para saber onde se encontram
os livros, um disco precisa de ter uma tabela com o endereço
dos dados armazenados. Qualquer operação de entrada
e saída (carregamento ou salvamento de um arquivo, por
exemplo), precisaria do uso dessa tabela. Salvar ou carregar um
arquivo num disquete infectado possibilitaria a ativação
do vírus, que poderia infectar outros disquetes e o disco
rígido.
Vírus de Arquivo - ex: Jerusalém, Athenas, Freddy
Infectam arquivos executáveis ou de extensão .SYS,
.OVL, . MNU, etc. Estes vírus se copiam para o inicio ou
fim do arquivo. Dessa forma, ao se chamar o programa X, o vírus
se ativaria, executaria ou não outras tarefas e depois
ativaria o verdadeiro programa.
Atualmente existem uma terceira e quarta categorias
Vírus Multi-parti te - ex: Whale, Natas Infectam tanto
o disquete quanto os arquivos executáveis. São extremamente
sofisticados.
Vírus como o DIR-II Alteram a tabela de arquivos de forma
a serem chamados antes do arquivo programa. Nem propriamente dito
são FILE-INFECTORS nem são
realmente BOOT-INFECTORS muito menos multi-partites.
Outras características e um pouco de história:
Vírus residentes e não-residentes: Os primeiros
vírus eram de concepção muito simples e funcionavam
como programas auto-reprodutores apenas. O usuário usava
o programa infectado, acionava o vírus, que infectava todos
os outros programas no subdiretorio ( Vírus caçadores,
que procuram programas em outros subdiretorios são muito
bandeirados) e depois colocava para funcionar o programa (o que
o usuário realmente queria usar). Ponto final. Se um programa
não infectado for acionado, ele não será'
infectado.
Os Vírus residentes, mais sofisticados permanecem na memória
após o uso do programa infectado. Portanto podem infectar
qualquer outro programa que for chamado durante a mesma sessão
de programação, ate' que o computador seja desligado.
Como o sistema operacional e' basicamente um programa destinado
a tornar comandos como DIR, TYPE, etc inteligíveis para
os chips do computador, ele se torna objeto de infecção.
Neste caso, toda vez que o computador for ligado, o vírus
sera' carregado para a memória, podendo infectar qualquer
programa que for usado. A grande maioria dos vírus atuais
pertence a este tipo de vírus.
Quanto a detecção:
Stealth - ex: Athenas, 4096, GenB,
etc Um vírus, como todo programa ocupa esgaço em
disco. O código, em linguagem de maquina, mesmo ocupando
um esgaço mínimo, aumenta o tamanho do arquivo.
Ao se copiar para dentro do programa a ser infectado, duas coisas
aconteciam: o programa aumentava de tamanho e alterava a data
de gravação. No caso do vírus Jerusalém,
por exemplo, o programa "engordava" a cada execução,
chegando a se auto-infectar ate' tamanhos absurdos. Para checar
se o arquivo estava infectado era so' fazer uma copia do mesmo
e acionar esta copia. Depois bastava executar o comando "DIR"
e o resultado mostraria que a data, hora de criação
e o tamanho do programa eram diferentes. Com o 4096, isso não
acontecia. Uma vez residente na memória, o vírus
checava para a existência de uma copia sua no arquivo .exe
ou .com e restaurava uma data quase idêntica de criação
de arquivo. Dessa forma, so' um antivirus ou um usuário
atento descobria a diferença.
O vírus ATHENAS - já'
e' algo mais sofisticado. Ele altera tudo de forma a evitar que
um Antivirus detectasse a diferença. Em outras palavras,
seria necessário que o vírus não fosse ativado
para que fosse detectado. Se o arquivo COMMAND.COM fosse infectado,
todos os arquivos .com ou .exe de um disco rígido seriam
infectados, cedo ou tarde. O usuário poderia usar o antivirus
que quisesse. O virus continuaria invisível. Dai o uso
do adjetivo "STEALTH", do avião americano invisível
ao radar. Como alguns desses vírus verificam ate' se já'
estão presentes na memória, o funcionamento do computador
não diminuiria de velocidade o suficiente para alertar
o usuário.
OBSERVAÇãO: Uma vez
que o vírus Stealth esconde sua presença de qualquer
programa antivirus, uma forma de descobri-lo e' justamente guardar
um disquete com o programa infectado. Se o programa antivirus
do micro "suspeito" de infecção não o descobrir
a presença de virus no disquete, então provavelmente
o micro esta' infectado. Isso funciona principalmente com versões
mais novas de um mesmo vírus, como o Athenas, o GenB (vulgo
Brasil), etc..
Companheiros (Companion) São
virus que não infectam programas .exe. Ao invés
disso criam um arquivo de extensão .com, cujo o atributo
e' alterado para Hidden (escondido). Como o arquivo .Com e' executado
antes do .exe, o virus entra na memória e depois chama
o programa. E' fácil e difícil de detectar. Por
não alterar o programa, escapa a algumas formas de detecção,
como a checagem do CRC. Teoricamente um comando DIR teria poder
para descobri-lo: DIR /AH mostra todos os arquivos escondidos.
Mas para se ter certeza, so' quando o BOOT e' feito com um disquete
limpo de virus, já' que nada impede de um vírus
Companion ser tambem Stealth (ou poli- morfico, ou multi-parti
te, tem vírus para todos os gostos).
Polimorficos - ex: Natas, Freddy,
etc No tempo em que os primeiros antivirus contra o Jerusalém
apareceram, alguns "espertos" resolveram criar novas versões
indetectaveis atraves da alteração do virus. Como
o antivirus procura uma característica do virus para dar
o alarme, essa modificação obrigava a criação
de um novo detector de virus. Isso e' bastante comum. Novas versões
de virus são feitas a cada dia, aproveitando-se esqueletos
de antigas versões, tendo alguns virus gerado verdadeiras
"famílias" de "parentes", de versões mais antigas.
O próprio virus Michelangelo seria uma versão"acochambrada"
do virus Stoned. A ultima moda (para os projetistas de virus)
e' o uso da poliformia. O virus se altera a cada vez que infecta
um novo arquivo. Dessa forma o virus cria N variações
de si próprio. Hipoteticamente, se uma variações
escapasse ao antivirus, ela poderia re-infectar todos os arquivos
novamente.
Retrovirus - ex: Goldbug, Crepate
São virus que tem como alvo antivirus, como o Scan, Clean,
CPAV NAV, ou qualquer arquivo que contenha as strings AV, AN,
SC, etc no nome. Pode ser o objetivo principal ou paralelo. O
Crepate, por exemplo, e' multipartite (infecta tanto o boot como
arquivos executáveis). Alguns simplesmente deletam os arquivos
que contem o CRC dos programas analisados (uma espécie
de selo que alguns anti virus, como o NAV, por exemplo, criam:
um arquivo onde varias caracteristicas pre-infeccao (tais como
tamanho, data, atributos) ficam armazenadas). Um ou
outro anti-virus tem código p. desativar anti-virus residentes,
como o V-SHIELD e o VACINA e passar despercebido.
Virus-anti-virus - Existem virus
que se especializam em detectar e infectar arquivos já'
infectados por outros virus menos sofisticados.
MÉTODO DE DETECÇÃO : Como vimos anteriormente,
os virus mais antigos deixavam rastros que possibilitavam sua
descoberta:
sintomas:
 Demora maior na
execução de um programa. O sistema fica mais lento
como um todo.
Aumento no tamanho
dos programas.
Alteração
na data de criação do programa. Quando o virus infecta,
o programa aparece uma data de criação recente.
No caso de virus de disco, e' possivel que alguns arquivos do
disquete pura e simplesmente desaparecem
Igualmente o aparecimento
de mensagem acusando Bad Cluster em todos os disquetes usados
(não confundir com o que acontece com um disquete de 360k
formatado por engano para 1.2 de capacidade).
Nos tempos do virus Ping-pong, essa era uma dica de infecção.
Disquete funciona
em PC-XT mas não funciona em um PC-AT. Anti virus alerta
para modificação em seu arquivo (os novos programas
anti virus não funcionam quando são modificados
pela infecção de um virus). Não se deve utiliza-los
mesmo quando possivel se houver virus na memória, pois
isso infectado todos os arquivos que forem examinados. Utilizacao
de ferramentas como Norton Utilities ou PCTOOLS para visualização
do setor de Boot mostram modificações (so' para
quem sabe a diferença).
Programa Windows
deixa de funcionar ou congela repetidamente.
Para se "limpar" um virus O mais simples e' o uso de um anti virus,
como o Scan, NAV, Thunderbyte, ou F-Prot.
Cada um destes tem sua própria forma de utilizacao. Atualmente
o Thunderbyte e o F-Prot estao ganhando uma ótima reputação,
embora o Scan ainda seja capaz de proezas na limpeza de virus
polimorficos, por exemplo. O Norton Anti virus possui em seu pacote
um programa denominado Vacina, que, como o VShield (da mesma firma
que fabrica o Scan) vigia para a entrada de virus e e' recomendável.
O NAV em si tem os seus defensores, mas alguns o consideram um
desperdício de espaço na Winchester. O F-Prot possui
um banco de dados contendo descritos de virus de computador já'
analisados por eles. A firma edita tambem um boletim sobre virus,
disponível em ftp site e em www, com boas descritos sobre
novos problemas causados por novos tipos de virus. O Scan da MCafee
alterou recentemente o formato original de programa. Alguns o
consideram mais vulneráveis a ação de virus
anti-virus (os chamados retro-virus). Ate' a versão 6.2
do DOS existia um anti virus da Central Point junto com o pacote.
Gerou um rebulico pela quantidade de falso-positivos (dava alarmes
falsos) que gerava, quando usado em conjunto com outros anti virus.
Sua eficácia era igualmente reduzida pelo fato de que não
e' fácil de atualizar. Novos tipos de virus passariam indesejáveis.
Precauções: Antes de
qualquer tentativa de se limpar um micro ou um disco deve-se dar
um BOOT com um disquete limpo de virus. Este disquete, se não
existir, deve ser feito em algum outro micro onde o virus não
apareceu, atraves do comando SYS. Após a copia do sistema
operacional para o disquete, copia-se o anti virus para o disquete
e coloca-se a etiqueta de protecao. Desliga-se o micro e liga-o
novamente como o novo disquete de sistema, (devidamente protegido
contra gravação atraves da etiqueta) no drive A:.
Sabendo-se que determinado disquete contem virus de disco, a forma
correta de se limpa-lo sem recorrer a anti virus e' atraves do
comando SYS do DOS. E' necessário que o disquete tenha
espaço suficiente para que o comando funcione, portanto
se usa o PCTOOLS ou algum outro programa copiador de arquivos
para copiar os arquivos antes de executar o comando SYS A: ou
SYS B:. O ideal e' formatar o disquete. No caso do disco rígido
infectado com virus de disco, e' necessário garantir o
salvamento ou o back-up dos dados mais importantes, como:
arquivos de configuração: autoexec.bat, config.sys,
win.ini, etc arquivos de dados: aqueles com os quais você
trabalha desde o ultimo back-up. Em seguida, usar o comando MIRROR
para fazer uma copia do boot sector do disco em disquete (que
ficara' infectado, mas poderá' ser limpo depois com mais
facilidade). Feito isso, pode-se apartir do prompt do DOS no drive
C: digitar: C:\> \dos\fdisk /mbr Imediatamente se desliga o micro,
para evitar reinfeccao. Essa técnica funciona em muitos
casos, mas o inteligente e' executa-la tendo inicializado o micro
com um disquete limpo de virus no drive a: (não existe
nada melhor). No caso de micro contaminado por virus de arquivo
polimorfico(NATAS ou FREDDY), o ideal e' a re-instalacao de todos
os arquivos infectados, começando pelo command.com. Arquivos
texto poderão ser salvos.
ALGUMAS DICAS PARA O SCAN : Pode-se pesquisar muitos disquetes
de uma so' vez com a seguinte linha de comando: C:\> scan a: /many
Para se evitar o tempo que o anti virus perde checando a memória:
C:\> scan a: /nomem Para se ter as instruções do
Scan e do Clean em português existe um arquivo de extensao
.msg, disponível na maioria dos sítios que possuem
anti virus. E' so' re nomear o arquivo para MCAFEE.MSG e automaticamente
o scan adota as mensagens daquela linguagem. EX: C:\> ren spanish.msg
mcafee.msg As ultimas versões do Scan (2.3) tem a lista
de virus e o anti virus Clean incorporado. ex: scan c: /clean
Automaticamente limpa os arquivos infectados ex: scan /vlist Exibe
uma lista dos virus que esse anti virus detecta (e/ou limpa).
COMO FUNCIONA UM PROGRAMA ANTI - VÍRUS : Pouca gente
que trabalha com isso desconhece.
Sào três(3) as principais formas de se detectar a
ação de um virus num sistema atraves do programa
anti virus.
1-Vigiando : a memória do micro para ação
de qualquer novo programa (quando o virus e' residente, ele ocupa
espaço na memória e pode ser rastreado atraves de
programas como o CHKDSK ou MEM /c) ou outros sinais de infecção.
2-Mantendo : um arquivo com as caracteristicas do(s) arquivos
antes da infecção. Assim, como se fosse um policial,
ele ele examina o CRC, a data de criação do arquivo,
o tamanho e outras caracteristicas cuja alteração
denunciaria ação indevida.
3-Abrindo : cada um dos arquivos passíveis de infecção
e examinando o código do programa. Lembrar que o virus
e' um programa de computador que se copia sem intervenção
humana para outro programa ou boot sector. Um programa e' composto
de as vezes milhares de instruções em linguagem
de baixo nivel.
O que o programa anti-virus faz e' ler esse "texto" dos arquivos
executáveis (de extensao .COM, .EXE ou .OVL, entre outros)
e procurar por uma linha de código característica
de virus de computador. O programa, ao encontrar uma semelhança
entre o código do virus e a linha de código que
ele tem armazenada na memória como pertencente a um virus,
acionar a mensagem de alerta para o usuário. Observação:
Alarmes falsos - Algumas vezes quando o anti virus não
foi bem testado, o programa pode classificar outro programa como
infectado, so porque ele encontrou essa parte do código,
sem que exista nenhum virus no computador (a isso se chama o falso
alarme). Esse tipo de busca e' tambem feito na memória
do micro, algumas vezes tambem com o mesmo efeito, sendo famoso
o anti virus disponível com a versão 6.2 do MSDOS.
Se fosse usado junto com o anti virus SCAN versão 108 (não
tenho certeza), este emitia a mensagem de que o virus "Protector"
estava ativo na memória (quando na verdade o anti virus
e' que estava).
PARA SE ESTUDAR UM VÍRUS : Para as almas corajosas
que querem, por uma razão ou outra colecionar virus para
estudo (atitude que aprovo, desde que o fim seja o de aprender
alguma forma de se livrar deles de forma mais fácil), aqui
vão algumas dicas.
Em primeiro lugar, nunca estudar o virus em um micro contendo
arquivos de outra pessoa com dados valiosos que possam ser perdidos.
Se for usar o seu micro, certifique-se de que tem todos os arquivos
back-up guardados e faca novo BACK-UP antes do inicio do trabalho.
Segundo lugar. Tenha o virus copiado para um disquete. Isso e'
feito atraves da copia do arquivo infectado para um disquete.
No caso de virus de disco, formatando um disquete (com sistema
operacional, usando format a: /s na linha de comando).
Terceiro lugar. Tenha um disquete de Boot, limpo de virus a mao.
De preferência dois, todos com etiqueta. Quarto: modifique
o autoexec.bat no disquete, adicionando o comando subst da seguinte
maneira: Ex: subst c: a: subst b: a: subst qualquer outro drive
a:
Obs: Em teoria isto vai impedir o virus de se pro pagar para
o drive C:, mas o melhor ainda e' desligar a Winchester mexendo
na configuração da BIOS ou via desligamento da placa
da winchester. Feitas essas preparações, comeca-se
a testar o virus. O ideal e' ter um arquivo de isca, com um código
simples como esse:
{programa retirado da revista Virus Report - nr 4 pg 4 }
org 100h code segment assume cs:code, ds:code programa proc inicio:mov
ah, 4Ch mov al, 0h int 21h programa endp code ends end inicio
A ideia e' ter um programa cujo codigo nao confunda na hora de
examinar. Na verdade, o programa poderia ser bem menor. So' que
alguns virus se recusam a infectar programas com menos de 500
bytes. Compilar com o MASM ou TASM. Havendo tal programa que chamarei
de isca, deve-se renomea-lo para isca.xxx antes do inicio das
experiencias.
MÉDODO PARA AVERIGUAR O COMPORTAMENTO DE UM VÍRUS
:
1) Antes de ativar o programa infectado Digitar; dir isc*.* >>
teste.doc copy isca.xxx isca1.com arquivo <------------ aciona-se
o arquivo virotico echo "arquivo virotico ativado" >> teste.doc
^ | | (Comando para inserir essa linha no arquivo de registro
sem editor de texto)
2) Uma vez o arquivo ativado ( o virus provavelmente na memória)
Digitar: dir isc*.* >> teste.doc isca1 echo "isca1.com ativado"
>> teste.doc dir isc*.* >> teste.doc
3) realizar novo boot para tirar o virus da memória Digitar:
echo "situação pós boot" >> teste.doc dir
isc*.* >> teste
Podem ser estudados:
- O aumento do arquivo pós a infecção
- As diferenças na quantidade de memória livre existente
pós ativacao (usando o CHKDSK e o MEM)
- O tipo de arquivos que infecta e se tem um tempo de incubacao
(tempo durante o qual nada acontece).
- Colocar vários arquivos juntos de uma so' vez, para se
determinar se e' fast-infector.
- Pode ser considerado "Stealth" se conseguir esconder sua presença.
IMPORTANTE : Não se deve em hipótese alguma
executar o Debug com o virus na memória do micro.
Obs2: O virus pode ser considerado Stealth (furtivo) se as alterações
no arquivo ficarem visíveis com um boot feito com disquete
limpo de virus (no caso de um que ataque arquivos). Os virus de
Boot são estudados dando-se o boot com um disquete infectado
com o mesmo. Usar-se o comando SYS do DOS para se implantar o
sistema operacional no disquete infectado apagara' o virus no
disquete
PORQUE OS VÍRUS SÃO ESCRITOS :
O chamado virus de computador e' um software que sempre capta
atenção e estimula a curiosidade.
Esta pergunta foi feita na convenção de Hackers
e fabricantes de virus na Argentina. A primeira resposta foi:
- Because it's fun. (por diversão, entretenimento)
Outras respostas:
- Para estudar as possibilidades relativas ao estudo de
vida artificial (de acordo com a frase de Stephen Hawkind "Os
virus de computador são a primeira forma de vida feita
pelo homem"). Esta proposta e' seguida por vários cientistas,
incluindo um que pôs a disposição seu virus
(intensivo) para aqueles que estivessem interessados. Existe uma
revista eletrônica dedicada a isto, chamada Artificial Life
e vários livros sobre o assunto. Em suma algo sério.
- Para descobrir se são capazes de fazer isso ou
para mostrarem para os colegas do que são capazes de fazer
com um micro. Testar seus conhecimentos de computação.
- Por frustração ou desejo de vingança.
Muitos autores de virus são adolescentes. Um jovem (inconformado
com o fato de que o pai não esta' afim de comprar aquele
kit de multimídia para o seu micro), usa o que sabe para
... * Esta hipótese e' pura imaginação. Mas
a vontade de sublimar uma raiva atraves de atos de vandalismo
existe, como demonstram os pichadores e quebradores de telefones.
- Curiosidade. Algo muito forte, mesmo para aqueles que
tem pouco conhecimento de informática. Uma das melhores
formas de se aprender sobre virus e' "criando" um.
- Para conseguir acesso a BBSes de virus. Existem BBSes
que possuem bibliotecas de virus e códigos fontes como
a Viegas BBS (agora desativada) e outras nos EUA e em outros paises.
O usuário podia ter acesso a coleção de virus
se fornecesse um novo. Muitos criavam ou modifi- -cavam virus
já' existentes p. ter esse acesso (alias dois terços
dos virus já' registrados são resultado desse intento,
sendo muitos considerados fracos ou pouco sofisticados, comparados
com os originais).
- Para punir aqueles que copiam programas de computador
sem pagar direitos autorais.
- Para conseguir fama.
- Fins militares. Falou-se sobre isso na guerra do golfo,
para esconder o uso de uma outra arma de "atrapalhamento" do sistema
de computadores do inimigo. Ainda assim, os virus p. uso militar
são uma possibilidade.
- etc, etc Minha opinião pessoal e' que as pessoas se interessam
por virus de computadores da mesma forma que curtem assistir filmes
de guerra e colecionam armas de fogo ou facas. O fato de que a
pessoa coleciona virus de computador ou cria novos especimes não
indica uma vontade de distribuir seus "rebentos" para o publico
em geral.
VÍRUS
BENÍGNOS : Existem. Um deles e' o KOH, criado por King
of Hearts, um hacker mexicano. Ele e' um virus que criptografa
tudo, de acordo com uma senha escolhida pelo usuário. Desenvolvido
com o algoritmo IDEA, e' teoricamente difícil de ser "quebrado".
O utilizador desse virus pode "pedir" ao virus para não
infectar disquetes ou disco rígidos e controlar sua ação,
portanto. Usa técnicas"stealth" e e' invisível portanto
a anti virus, podendo mesmo ajudar a evitar alguns tipos de virus.
Outro, compacta, a semelhança do programa PKLITE, todo
e qualquer arquivo executável que "infecta". O único
virus que "reduz" o espaço físico que "ocupa". Sem
prejudicar os programas que compacta.
EMULADORES DE
VÍRUS : São programas que simulam a ação
de virus de computador, para treinamento ou diversão (a
custa dos outros). Existe um, antigo, que faz aparecer umas aranhas
na tela que "comem" todas as letras do texto digitado. Outro exibe
mensagens de erro, com os seguintes dizeres:
1- Erro tal. Sua Winchester esta' cheia de agua.
2- Barulho de Winchester "inundada" aparece no alto-falante do
micro.
3- O sistema operacional avisa que vai centrifugar o disco rígido
para tirar a agua. Barulho de centrifugacao no alto-falante do
micro.
4- Volta o sistema ao normal.
Durante esse tempo todo, nada aconteceu com o seu micro. O teclado
ficou travado, mas nenhum arquivo foi deletado, nem mudado de
lugar. Mas quem não conhece o dito fica em pânico,
e se e' o usuário"TAO" (aquele que aperta bo"TAO" de reset
com a ideia de que vai ganhar presente depois), e' capaz de desistir
de aprender computação. Mais útil e' o Virsim2,
um emulador de virus feito especialmente para treinar gente no
combate a anti virus. O programa produz arquivos inofensivos (que
são detectados como se fossem infectados por diferentes
tipos de virus, ver sessão sobre o funcionamento do Scan).
Tambem e' capaz de "infectar" um disquete com um boot virotico
(que não infecta o disco rígido ou outros disquetes)
ou simular o efeito de um virus na memória. A instalação
do programa e' sofisticada, com uma voz (em inglês) explicando
o que o programa esta' fazendo no momento, e isso funciona sem
placa sound-blaster. Engraçado e' que em algumas firmas
onde este programa foi usado constatou-se que nenhum dos arquivos
ficticios infectados foi encontrado pelos funcionários.
Constatou-se uma apatia total pelo uso de programas anti-virus
(já' que não havia virus, não havia medo
de virus, então não havia uso dos programas anti-virus
instalados).
REVISTAS e fontes de informacoes para estudiosos de virus: Existem.
De um lado a Virus Bulletin, publicada na Inglaterra uma das maiores
autoridades no assunto, mas e' paga (75 Libras) anuais, creio.
Existe o Virus Bulletin da Datafellows, que e' disponível
via ftp e WWW. Faz parte do lancamento de cada nova versao do
antivirus F-Prot. Contem bastante material interessante. O unico
problema e' que a enfase sao de virus Nordicos, o que e' compreensivel,
ja' que o programa vem de la' (por sinal e' bastante bom e atualizado
regularmente). A revista argentina Virus Report tambem e' uma
excelente fonte de informação sobre tudo o que diz
respeito a virus e segurança eletrônica. E' a revista
dos hackers argentinos e patrocinou recentemente um encontro internacional,
do qual participei com uma palestra sobre ensino a distancia,
trabalho feito pela ESCOLA DO FUTURO. Em Buenos Aires haviam mais
duas ou três revistas sobre virus de computador em formato
eletrônico, mas não tive chance de conseguir nenhuma
copia. Atraves da Internet e' possivel se conseguir, no sítio
ftp do Cert, os arquivos Factory.zip, Virus.101-4, e o VSUM fontes
quase básicas de informacoes sobre virus. O arquivo Factory.zip
delinea a mecânica de funcionamento da fabrica de virus
na Bulgária, pais responsável por abrigar progra-
madores que muito contribuiram para os problemas do mundo ocidental
ate' bem depois da queda do muro de Berlin. Lendo esse arquivo
sabemos a origem do virus DIR-II e de outros. Existem varias revistas
que ensinam técnicas de fabricação de virus
e manuseio. As mais conhecidas são a 40hex, a NUKE, e a
CriPT, mas se não me engano esporádico pode-se encontrar
artigos sobre essas técnicas na Phrack, NIA e CUD. Existe
tambem um arquivo denominado Hack-report, com um relato de quais
são os ultimos cavalos de Tróia e bombas-logicas
que estao sendo distribuidos ate' a publicação do
artigo. Uma das primeiras revistas sobre o assunto foi a CPI -
Corrupted Programming International, que tinha ate' mesmo exemplos
de listagem em Assembly, Turbo Pascal, Basic e Batch File Programming,
pra mostrar que qualquer linguagem pode produzir estas monstruosidades.
Alguém escreveu um livro aproveitando isso, aqui no Brasil,
mas acho que nem em sebo se encontra. A revista 2600 e a HACK-TIC
tambem as vezes publicam artigos sobre isso, so' que em papel.
Os grupos de discussão na Internet V-alert e Comp.virus
são bastante úteis p. alertas sobre novos virus
e discussão de outros recentes ou não. Seu FAQ (Frequent
Answered Questions) texto e' uma excelente fonte p. quem não
conhece muito sobre o assunto. Vasselin Bontchev, seu moderador
e' uma das maiores autoridades no assunto. Ouvi dizer que existem
um grupo de discussão IRC que trocam dicas on-line sobre
fabricação de virus na Internet, mas não
conheço maiores detalhes.
NOMENCRATURA DE VÍRUS : Não existe uma convenção
sobre o assunto. Enquanto os fabri- cantes de virus costumam trocar
dicas e ideias, os fabricantes de anti virus normalmente se fecham
em si, cada qual defendendo o seu mercado. O que e' Athenas para
o Scan da Mcafee Software, e' Trojector para o F-Prot do Friedriek
Skulasson. O maior documento, e em formato hipertexto, sobre virus,
e' o VSUM, produzido pela Patricia Hoffman. Como parece que ela
recebe dinheiro da Mcafee, ou porque sua descrição
e' duvidosa (não sei o porque na verdade), o fato e' que
este documento não e' aceito pela comunidade de pesquisadores
anti-virus. Pelo menos não o e' na sua totalidade. Existem
vozes discordantes. Num de seus boletins, a firma que produz o
F-Prot conta tudo sobre como elabora a nomenclatura de seus virus,
mas se trata de uma leitura chata. O "nosso" virus Brazil não
aparece na lista deles nem do Scan como tal, por exemplo. Já'
um virus chamado Xuxa, muito raro (parece que foi escrito so'
p. fins de divulgação) e' chamado como tal. As vezes,
o virus e' nomeado por se tratar de uma modificação
de outro já' existente ou pelo programa que o produziu
(como acontece com os virus produzidos com a ajuda do VCL - ver
os kits de producao de virus). As vezes o virus contem um sinal
(ele tem que saber como identificar um arquivo virotico, p. não
infectar repetidas vezes o mesmo arquivo) e esta característica"batiza"
o virus.
PROGRAMAS "FALSOS" : Algumas vezes, aparecem
"ultimas versões" ou versões"desprote- gidas" de
softwares muito utilizados. O sujeito copia, usa em casa, e ..
descobre que o software e' na verdade um programa de formatação
fisica de Winchester disfarçado de outra coisa. Esse e'
o tipo de virus classificado como "cavalo de Tróia" ou
"bomba-logica". Na Viegas BBS havia alguns programas do genero,
inclu- -sive um "Norton Virus Detector", antecipando em alguns
anos a producao do programa anti virus do Norton. Esse tipo de
fal- sificacao aconteceu muito com o Scan, o Pkzip e acho que
ate' com o Arj. O programa na verdade instalava um virus ou fazia
alguma coisa ruim com os dados da winchester. Um caso que deu
muito o que falar foi o do "AIDS-virus". Era um programa com informacoes
sobre a AIDS. O sujeito respondia algumas perguntas, recebia alguma
informacao geral sobre o virus (biologico) e tudo bem. So' depois
descobria que todos os nomes, todas as extensoes de arquivo, tudo
o que estava na Winchester havia sido alterado. A seguinte mensagem
aparecia:
"It is time to pay for your software lease from PC Cyborg Corporation.
Complete the INVOICE and attach payment for the lease option of
your choice.If you don't use the printed INVOICE, then be sure
to refer to the important reference numbers below in all correspondence.
In return you will recieve: - a renewal software package with
easy to follow, complete instructions; - an automatic, self installing
diskette that anyone can apply in minutes."
Isso podia ser uma propaganda contra software pirata, mas na verdade
o software foi distribuido gratuitamente como brinde numa convencao
internacional sobre AIDS e tambem numa revista de informatica
tipo PC-Qualquer coisa. Como ja' foi dito acima, a unica forma
de prevencao contra esse tipo de programa e' um software chamado
CHK4BOMB, disponivel no subdiretorio virus de qualquer "mirror"
do Simtel20. Ainda assim nada realmente e' capaz de garantir que
um programa e' ou nao um "cavalo-de-troia".
LABORATÓRIOS de fabricação de vírus
: Existem programas feitos especificamente com o proposito de
auxiliar iniciantes na arte de fabricar virus sofisticados. Sao
os "Virus Construction Tools". Existem bibliotecas de rotinas
prontas que podem tornar um virus simples polimor- fico (mais
dificil de detectar) sem grande dificuldade p. o programador.
E programas que fazem o servico completo ao gosto do "inteligente"
que quiser construir seu proprio "monstro". O primeiro foi o GENVIR,
construido e distribuido na Franca. Lancado como uma especie de
Shareware, e' cheio de menus, mas na hora de produzir o virus
ele para. Para receber uma copia que realmente faca o trabalho,
a pessoa deveria enviar 120 francos para um endereco na Franca.
Um grupo alemao o "Verband Deutscher Virenliebhaber" escreveu
o VCS (Virus Construction Set). Esse incorpora um texto escolhido
pelo usuario num virus simples, que apos se reproduzir um numero
x de vezes, deleta os arquivos de configuracao, como AUTOEXEC.BAT
e CONFIG.SYS. Outros kits mais "completos" e "sofisticados" sao
o VCL (Virus Construction Laboratory), o PS-MPC (Phalcon/ Skism
- Mass Produced Code Generator), o IVP (Instant Virus Production
Kit) e o G2 (G ao quadrado). Alguns chegam a produzir virus com
caracteristicas avancadas, como cripto- grafacao e otimizacao
de codigo virotico(!). Como os fabri- cantes de antivirus tambem
se mantem atualizados, os pro- gramas antivirus sao atualizados
de forma a detectar os virus produzidos por esses laboratorio.
ALGUMAS CRENDICES : Contaminacao por Modem de computador:
Nao existe. Pode-se conseguir um numa BBS ou com um amigo atraves
da copia de um programa infectado, mas e' tecnicamente impossivel
um micro infectar outro atraves do uso de modem.
Contaminacao por cima da etiqueta de protecao: Tambem impossivel.
O que pode ter acontecido e' a infeccao ter sido descoberta depois
da colocacao da etiqueta, coisa que acontece com virus "stealth".
Essa trava impede a gravacao no disquete e isso funciona a nivel
de hardware, nao de software.
E' necessario formatar todos os disquetes para se livrar do virus
XXXX: Nem sempre. Tudo depende de se ter ou nao o "disquete de
sistema limpo de virus". Com ele e' possivel so' apagar os programas
infectados e evitar esse trabalho. De acordo com a minha experiencia
e' possivel usar uma ferramenta como o PCTOOLS ou o XTREE para
"salvar" os arquivos de dados, sem aumentar a transmissao. Em
alguns casos pode ser mais facil formatar e re-instalar tudo do
que fazer a limpeza, mas nem sempre.
So' software pirata contem virus Nem sempre. O Michelangelo foi
distribuido pela primeira vez dentro de 20.000 disquetes distribuidos
por uma firma de computacao a seus usuarios. O computador que
fazia as copias estava infectado. Houve tambem o caso de um programa
famoso de Desktop Publishing cujos disquetes-matriz foram
infectados na casa do sujeito encarregado de dar uma ultima olhada,
resultando que toda a producao foi infectada.
Calendario de Virus: Essa e' uma favorita da imprensa. Nao se
fazem mais as reportagens sobre supersticao na Sexta-feira 13
(como antigamente). Mas com certeza se fazem reportagem sobre
o virus Sexta-Feira 13 e o problema dos virus que tem dia certo
para ativar. A maior incidencia de virus no Brasil, de acordo
com bate-papos com gente que faz acessoria de informatica sao
de virus como o Stoned, o Michelangelo, o Jerusalem, o Athenas
(trojector) e ultimamente o Freddy. Aqui e ali ocorrem surtos
de alguns virus novos, como o GV-MG e o Daniela. Desses, so' um
ou dois tem ativacao por dia do ano. O Michelangelo, 6 de Marco,
e o Sexta-Feira 13. O pro- -blema e' que se a pessoa for esperta
e fizer uma check-up regular no micro, com qualquer programa como
o Vshield ou Vacina (ate' mesmo o MSAV do Dos 6.2 e' o suficiente
para isso), ira' descobrir o intruso. Para se ter uma ideia, existem
versoes modificadas tanto do sexta-feira 13 como do Miguelangelo,
que detectam quando o dono do micro desligou para "evitar" o dia
fatidico. Funcionam no dia ou na semana seguinte.
Virus "Good Times": Esta e' aconteceu na Internet, mas nao duvido
que tenha acontecido tambem em BBSes por ai' afora. Era um aviso
sobre um virus que apagava tudo no disco rigido, veicu- lado em
correio eletronico. Funcionava como uma daquelas correntes da
felicidade. O sujeito recebia o aviso e re-enviava para todo mundo
que conhecia, e esses tambem re-enviavam. O efeito do virus foi
"torrar" a paciencia e ajudar a encher o correio eletronico (em
alguns servicos de BBS paga-se por quantidade de correspondencia
recebida) de muita gente. Depois veio uma segunda onda, a daqueles
que avisavam que o virus nao existia. |
