Antes de mais nada, e' preciso dizer que praticamente qualquer coisa de errado que acontece com um computador durante uma sessão de trabalho e' atribuída a um virus, independente da causa estar no programa ou na falta de experiência do usuário. De acordo com uma pesquisa da PC Magazine, 50 % dos prejuízos em software são culpa de mal uso ou independência. Qualquer um que atualizá o software sabe os problemas de re aprender a mexer com novos botões de salvamento de trabalho ou teclas de saída e apagamento que co lidem com o uso antigo de outro software. O usuário inexperiente destrói muito mais dados do que qualquer virus. Mesmo programas bem desenvolvidos tem defeitos que destroem o trabalho por conta de alguma falha no lançamento. Normalmente são as versões X.0. Qualquer pessoa que utilize um software recem-lancado (normalmente numero ponto zero) se arrisca a ter dores de cabeça que não serão culpa de virus de computador e que ninguém saberá' como resolver. A versão 5.01 de qualquer programa e' quase sempre a versão com correção dos erros encontrados na versão 5.0. Para quem não acredita e' so' perguntar a alguém que comprou a versão 6.0 do Wordperfect para Windows logo quando saiu. Ou a versão 6.0 do MSDos, a versão 3.0 do Windows, ou a versão 5.0 do Clipper. Saiu um artigo na folha de Informática do Estado de São Paulo (13/02/94) falando sobre o Pentium e tambem como alguns softwares recem-saidos podem apresentar defeitos, ou bugs, tão destrutivo's quanto um virus. Um virus de computador e' um programa que pode infectar outro programa de computador atraves da modificação dele de forma a incluir uma copia de si mesmo (de acordo com Fred Cohen, autor de "A Short Course on Computer Viruses"). A denominação de programa-virus vem de uma analogia com o virus biológico, que transforma a célula numa fabrica de copias dele. Para o publico em geral qualquer programa que apague dados, ou atrapalhe o trabalho pode levar a denominação de virus. Do ponto de vista de um programador, o virus de computador e' algo bastante interessante. Pode ser descrito como uma programa altamente sofisticado, capaz de tomar decisões automaticamente, funcionar em diferentes tipos de computador, e apresentar um indice mínimo de problemas ou mal-funcionamento. Stephen Hawking se referiu ao virus de computador como a primeira forma de vida construída pelo homem. De fato: o virus e' capaz de se reproduzir sem a interferência do homem e tambem de garantir sozinho sua sobrevivência. Como a auto-reproducao e a manutenção da vida são para alguns cientistas, o básico para um organismo ser descrito como vivo. O virus Stoned e' um exemplo que resiste ate' hoje, anos depois da sua criação. Sendo o virus um programa de computador sofisticado, ainda que use técnicas de inteligência artificial, ele obedece a um conjunto de instruções contidas no seu código. Portanto e' possivel se prevenir contra seu funcionamento, conhecendo seus hábitos.
Bomba Lógica e Cavalo de Tróia: o cavalo-de-troia se assemelha mais a um artefato militar como uma armadilha explosiva ou "booby-trap". O principio é o mesmo daquele cigarro-explosivo ou de um daqueles livros que dão choque. Não se reproduz. A expressão cavalo-de-troia tambem é' usada para com programas que capturam senhas sem o conhecimento do usuário. O criador do programa pode usufruir da senha de acesso capturada. Um exemplo de bomba-logica é um arquivo texto "armadilhado" que re defina o teclado ao ser lido pelo comando TYPE. Em um exemplo clássico, o sujeito digita: C:\> type carta.txt Os códigos acrescentados ao texto alteram a tecla x (ou qualquer tecla , não importa) de forma que, ao invés de escrever x na tela ela acionar uma macro que ativa a formatação do disco rígido. Existe um software, chamado CHK4BOMB, disponível no subdiretorio msdos/vírus de qualquer "mirror" do Simtel20 que ajuda a detectar a existência desse tipo de programa. Os anti virus comuns dificilmente detectam, a não ser em casos mais famosos.
Modus Operandi ate' algum tempo atrás, os vírus se dividiam em dois grupos principais:
Vírus de disco - ex: Stoned, Michelangelo, Ping-Pong Infectam o BOOT-SECTOR. Esta e' a parte do disco responsável pela manutenção dos arquivos. Da mesma forma que uma biblioteca precisa de um fichário para saber onde se encontram os livros, um disco precisa de ter uma tabela com o endereço dos dados armazenados. Qualquer operação de entrada e saída (carregamento ou salvamento de um arquivo, por exemplo), precisaria do uso dessa tabela. Salvar ou carregar um arquivo num disquete infectado possibilitaria a ativação do vírus, que poderia infectar outros disquetes e o disco rígido.
Vírus de Arquivo - ex: Jerusalém, Athenas, Freddy Infectam arquivos executáveis ou de extensão .SYS, .OVL, . MNU, etc. Estes vírus se copiam para o inicio ou fim do arquivo. Dessa forma, ao se chamar o programa X, o vírus se ativaria, executaria ou não outras tarefas e depois ativaria o verdadeiro programa.
Atualmente existem uma terceira e quarta categorias
Vírus Multi-parti te - ex: Whale, Natas Infectam tanto o disquete quanto os arquivos executáveis. São extremamente sofisticados.
Vírus como o DIR-II - Alteram a tabela de arquivos de forma a serem chamados antes do arquivo programa. Nem propriamente dito são FILE-INFECTORS nem são realmente BOOT-INFECTORS muito menos multi-partites.

Vírus residentes e não-residentes

Outras características e um pouco de história
Os primeiros vírus eram de concepção muito simples e funcionavam como programas auto-reprodutores apenas. O usuário usava o programa infectado, acionava o vírus, que infectava todos os outros programas no subdiretorio ( Vírus caçadores, que procuram programas em outros subdiretorios são muito bandeirados) e depois colocava para funcionar o programa (o que o usuário realmente queria usar). Ponto final. Se um programa não infectado for acionado, ele não será' infectado.
Os Vírus residentes, mais sofisticados permanecem na memória após o uso do programa infectado. Portanto podem infectar qualquer outro programa que for chamado durante a mesma sessão de programação, ate' que o computador seja desligado. Como o sistema operacional e' basicamente um programa destinado a tornar comandos como DIR, TYPE, etc inteligíveis para os chips do computador, ele se torna objeto de infecção. Neste caso, toda vez que o computador for ligado, o vírus sera' carregado para a memória, podendo infectar qualquer programa que for usado. A grande maioria dos vírus atuais pertence a este tipo de vírus.
Quanto a detecção:
Stealth - ex: Athenas, 4096, GenB, etc Um vírus, como todo programa ocupa esgaço em disco. O código, em linguagem de maquina, mesmo ocupando um esgaço mínimo, aumenta o tamanho do arquivo. Ao se copiar para dentro do programa a ser infectado, duas coisas aconteciam: o programa aumentava de tamanho e alterava a data de gravação. No caso do vírus Jerusalém, por exemplo, o programa "engordava" a cada execução, chegando a se auto-infectar ate' tamanhos absurdos. Para checar se o arquivo estava infectado era so' fazer uma copia do mesmo e acionar esta copia. Depois bastava executar o comando "DIR" e o resultado mostraria que a data, hora de criação e o tamanho do programa eram diferentes. Com o 4096, isso não acontecia. Uma vez residente na memória, o vírus checava para a existência de uma copia sua no arquivo .exe ou .com e restaurava uma data quase idêntica de criação de arquivo. Dessa forma, so' um antivirus ou um usuário atento descobria a diferença.
O vírus ATHENAS - já' e' algo mais sofisticado. Ele altera tudo de forma a evitar que um Antivirus detectasse a diferença. Em outras palavras, seria necessário que o vírus não fosse ativado para que fosse detectado. Se o arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou .exe de um disco rígido seriam infectados, cedo ou tarde. O usuário poderia usar o antivirus que quisesse. O virus continuaria invisível. Dai o uso do adjetivo "STEALTH", do avião americano invisível ao radar. Como alguns desses vírus verificam ate' se já' estão presentes na memória, o funcionamento do computador não diminuiria de velocidade o suficiente para alertar o usuário.
OBSERVAÇãO: Uma vez que o vírus Stealth esconde sua presença de qualquer programa antivirus, uma forma de descobri-lo e' justamente guardar um disquete com o programa infectado. Se o programa antivirus do micro "suspeito" de infecção não o descobrir a presença de virus no disquete, então provavelmente o micro esta' infectado. Isso funciona principalmente com versões mais novas de um mesmo vírus, como o Athenas, o GenB (vulgo Brasil), etc..
Companheiros - (Companion) São virus que não infectam programas .exe. Ao invés disso criam um arquivo de extensão .com, cujo o atributo e' alterado para Hidden (escondido). Como o arquivo .Com e' executado antes do .exe, o virus entra na memória e depois chama o programa. E' fácil e difícil de detectar. Por não alterar o programa, escapa a algumas formas de detecção, como a checagem do CRC. Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH mostra todos os arquivos escondidos. Mas para se ter certeza, so' quando o BOOT e' feito com um disquete limpo de virus, já' que nada impede de um vírus Companion ser tambem Stealth (ou poli- morfico, ou multi-parti te, tem vírus para todos os gostos).
Polimorficos - ex: Natas, Freddy, etc No tempo em que os primeiros antivirus contra o Jerusalém apareceram, alguns "espertos" resolveram criar novas versões indetectaveis atraves da alteração do virus. Como o antivirus procura uma característica do virus para dar o alarme, essa modificação obrigava a criação de um novo detector de virus. Isso e' bastante comum. Novas versões de virus são feitas a cada dia, aproveitando-se esqueletos de antigas versões, tendo alguns virus gerado verdadeiras "famílias" de "parentes", de versões mais antigas. O próprio virus Michelangelo seria uma versão"acochambrada" do virus Stoned. A ultima moda (para os projetistas de virus) e' o uso da poliformia. O virus se altera a cada vez que infecta um novo arquivo. Dessa forma o virus cria N variações de si próprio. Hipoteticamente, se uma variações escapasse ao antivirus, ela poderia re-infectar todos os arquivos novamente.
Retrovirus - ex: Goldbug, Crepate São virus que tem como alvo antivirus, como o Scan, Clean, CPAV NAV, ou qualquer arquivo que contenha as strings AV, AN, SC, etc no nome. Pode ser o objetivo principal ou paralelo. O Crepate, por exemplo, e' multipartite (infecta tanto o boot como arquivos executáveis). Alguns simplesmente deletam os arquivos que contem o CRC dos programas analisados (uma espécie de selo que alguns anti virus, como o NAV, por exemplo, criam: um arquivo onde varias caracteristicas pre-infeccao (tais como tamanho, data, atributos) ficam armazenadas). Um ou
outro anti-virus tem código p. desativar anti-virus residentes, como o V-SHIELD e o VACINA e passar despercebido.
Virus-anti-virus - Existem virus que se especializam em detectar e infectar arquivos já' infectados por outros virus menos sofisticados.

MÉTODO DE DETECÇÃO

Os virus mais antigos deixavam rastros que possibilitavam sua descoberta:
SINTOMAS
Demora maior na execução de um programa: O sistema fica mais lento como um todo.
Aumento no tamanho dos programas
Alteração na data de criação do programa: Quando o virus infecta, o programa aparece uma data de criação recente.
No caso de virus de disco, e' possivel que alguns arquivos do disquete pura e simplesmente desaparecem
Igualmente o aparecimento de mensagem acusando Bad Cluster em todos os disquetes usados (não confundir com o que acontece com um disquete de 360k formatado por engano para 1.2 de capacidade).
Nos tempos do virus Ping-pong, essa era uma dica de infecção.
Disquete funciona em PC-XT mas não funciona em um PC-AT. Anti virus alerta para modificação em seu arquivo (os novos programas anti virus não funcionam quando são modificados pela infecção de um virus). Não se deve utiliza-los mesmo quando possivel se houver virus na memória, pois isso infectado todos os arquivos que forem examinados. Utilizacao de ferramentas como Norton Utilities ou PCTOOLS para visualização do setor de Boot mostram modificações (so' para quem sabe a diferença).
Programa Windows deixa de funcionar ou congela repetidamente.
Para se "limpar" um virus O mais simples e' o uso de um anti virus.
Cada um destes tem sua própria forma de utilizacao. O Norton Anti virus possui em seu pacote um programa denominado Vacina, que, como o VShield (da mesma firma que fabrica o Scan) vigia para a entrada de virus e e' recomendável. O NAV em si tem os seus defensores, mas alguns o consideram um desperdício de espaço na Winchester. O F-Prot possui um banco de dados contendo descritos de virus de computador já' analisados por eles. A firma edita tambem um boletim sobre virus, disponível em ftp site e em www, com boas descritos sobre novos problemas causados por novos tipos de virus. O Scan da MCafee alterou recentemente o formato original de programa. Alguns o consideram mais vulneráveis a ação de virus anti-virus (os chamados retro-virus). Ate' a versão 6.2 do DOS existia um anti virus da Central Point junto com o pacote. Gerou um rebulico pela quantidade de falso-positivos (dava alarmes falsos) que gerava, quando usado em conjunto com outros anti virus. Sua eficácia era igualmente reduzida pelo fato de que não e' fácil de atualizar. Novos tipos de virus passariam indesejáveis.
PRECAUÇÕES: Antes de qualquer tentativa de se limpar um micro ou um disco deve-se dar um BOOT com um disquete limpo de virus. Este disquete, se não existir, deve ser feito em algum outro micro onde o virus não apareceu, atraves do comando SYS. Após a copia do sistema operacional para o disquete, copia-se o anti virus para o disquete e coloca-se a etiqueta de protecao. Desliga-se o micro e liga-o novamente como o novo disquete de sistema, (devidamente protegido contra gravação atraves da etiqueta) no drive A:. Sabendo-se que determinado disquete contem virus de disco, a forma correta de se limpa-lo sem recorrer a anti virus e' atraves do comando SYS do DOS. E' necessário que o disquete tenha espaço suficiente para que o comando funcione, portanto se usa o PCTOOLS ou algum outro programa copiador de arquivos para copiar os arquivos antes de executar o comando SYS A: ou SYS B:. O ideal e' formatar o disquete. No caso do disco rígido infectado com virus de disco, e' necessário garantir o salvamento ou o back-up dos dados mais importantes, como:
arquivos de configuração: autoexec.bat, config.sys, win.ini, etc arquivos de dados: aqueles com os quais você trabalha desde o ultimo back-up. Em seguida, usar o comando MIRROR para fazer uma copia do boot sector do disco em disquete (que ficara' infectado, mas poderá' ser limpo depois com mais facilidade). Feito isso, pode-se apartir do prompt do DOS no drive C: digitar: C:\> \dos\fdisk /mbr Imediatamente se desliga o micro, para evitar reinfeccao. Essa técnica funciona em muitos casos, mas o inteligente e' executa-la tendo inicializado o micro com um disquete limpo de virus no drive a: (não existe nada melhor). No caso de micro contaminado por virus de arquivo polimorfico(NATAS ou FREDDY), o ideal e' a re-instalacao de todos os arquivos infectados, começando pelo command.com. Arquivos texto poderão ser salvos.
ALGUMAS DICAS PARA O SCAN : Pode-se pesquisar muitos disquetes de uma so' vez com a seguinte linha de comando: C:\> scan a: /many
Para se evitar o tempo que o anti virus perde checando a memória: C:\> scan a: /nomem Para se ter as instruções do Scan e do Clean em português existe um arquivo de extensao .msg, disponível na maioria dos sítios que possuem anti virus. E' so' re nomear o arquivo para MCAFEE.MSG e automaticamente o scan adota as mensagens daquela linguagem. EX: C:\> ren spanish.msg mcafee.msg As ultimas versões do Scan (2.3) tem a lista de virus e o anti virus Clean incorporado. ex: scan c: /clean Automaticamente limpa os arquivos infectados ex: scan /vlist Exibe uma lista dos virus que esse anti virus detecta (e/ou limpa).

COMO FUNCIONA UM PROGRAMA ANTI - VÍRUS

Sào três(3) as principais formas de se detectar a ação de um virus num sistema atraves do programa anti virus.
1-Vigiando: a memória do micro para ação de qualquer novo programa (quando o virus e' residente, ele ocupa espaço na memória e pode ser rastreado atraves de programas como o CHKDSK ou MEM /c) ou outros sinais de infecção.
2-Mantendo: um arquivo com as caracteristicas do(s) arquivos antes da infecção. Assim, como se fosse um policial, ele ele examina o CRC, a data de criação do arquivo, o tamanho e outras caracteristicas cuja alteração denunciaria ação indevida.
3-Abrindo: cada um dos arquivos passíveis de infecção e examinando o código do programa. Lembrar que o virus e' um programa de computador que se copia sem intervenção humana para outro programa ou boot sector. Um programa e' composto de as vezes milhares de instruções em linguagem de baixo nivel.
O que o programa anti-virus faz e' ler esse "texto" dos arquivos executáveis (de extensao .COM, .EXE ou .OVL, entre outros) e procurar por uma linha de código característica de virus de computador. O programa, ao encontrar uma semelhança entre o código do virus e a linha de código que ele tem armazenada na memória como pertencente a um virus, acionar a mensagem de alerta para o usuário. Observação: Alarmes falsos - Algumas vezes quando o anti virus não foi bem testado, o programa pode classificar outro programa como infectado, so porque ele encontrou essa parte do código, sem que exista nenhum virus no computador (a isso se chama o falso alarme). Esse tipo de busca e' tambem feito na memória do micro, algumas vezes tambem com o mesmo efeito, sendo famoso o anti virus disponível com a versão 6.2 do MSDOS. Se fosse usado junto com o anti virus SCAN versão 108 (não tenho certeza), este emitia a mensagem de que o virus "Protector" estava ativo na memória (quando na verdade o anti virus e' que estava).

PARA SE ESTUDAR UM VÍRUS

Para as almas corajosas que querem, por uma razão ou outra colecionar virus para estudo (atitude que aprovo, desde que o fim seja o de aprender alguma forma de se livrar deles de forma mais fácil), aqui vão algumas dicas.
1 - Nunca estudar o virus em um micro contendo arquivos de outra pessoa com dados valiosos que possam ser perdidos. Se for usar o seu micro, certifique-se de que tem todos os arquivos back-up guardados e faca novo BACK-UP antes do inicio do trabalho.
2 - Tenha o virus copiado para um disquete. Isso e' feito atraves da copia do arquivo infectado para um disquete. No caso de virus de disco, formatando um disquete (com sistema operacional, usando format a: /s na linha de comando).
3 -Tenha um disquete de Boot, limpo de virus a mao. De preferência dois, todos com etiqueta. Quarto: modifique o autoexec.bat no disquete, adicionando o comando subst da seguinte maneira: Ex: subst c: a: subst b: a: subst qualquer outro drive a:
Obs: Em teoria isto vai impedir o virus de se pro pagar para o drive C:, mas o melhor ainda e' desligar a Winchester mexendo na configuração da BIOS ou via desligamento da placa da winchester. Feitas essas preparações, comeca-se a testar o virus. O ideal e' ter um arquivo de isca, com um código simples como esse:
{programa retirado da revista Virus Report - nr 4 pg 4 }
org 100h code segment assume cs:code, ds:code programa proc inicio:mov ah, 4Ch mov al, 0h int 21h programa endp code ends end inicio
A ideia e' ter um programa cujo codigo nao confunda na hora de examinar. Na verdade, o programa poderia ser bem menor. So' que alguns virus se recusam a infectar programas com menos de 500 bytes. Compilar com o MASM ou TASM. Havendo tal programa que chamarei de isca, deve-se renomea-lo para isca.xxx antes do inicio das experiencias.

MÉDODO PARA AVERIGUAR A EFICÁCIA DO ANTI VÍRUS

Existe um teste padrão que pode ser executado com simplicidade em qualquer PC afim de descobrir se seu anti-vírus é capaz de detectar um malware. Abrindo um aplicativo editor de textos que salve em formato puro (.txt) e digitando a sequência:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Execute o anti-vírus. Caso ele não detecte o arquivo, seu anti-vírus é ineficiente.

PORQUE OS VÍRUS SÃO ESCRITOS

O chamado virus de computador e' um software que sempre capta atenção e estimula a curiosidade.
Esta pergunta foi feita na convenção de Hackers e fabricantes de virus na Argentina. A primeira resposta foi:
Because it's fun (por diversão, entretenimento)
Outras respostas
Para estudar: As possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind "Os virus de computador são a primeira forma de vida feita pelo homem"). Esta proposta e' seguida por vários cientistas, incluindo um que pôs a disposição seu virus (intensivo) para aqueles que estivessem interessados. Existe uma revista eletrônica dedicada a isto, chamada Artificial Life e vários livros sobre o assunto. Em suma algo sério.
- Para descobrir se são capazes de fazer isso ou para mostrarem para os colegas do que são capazes de fazer com um micro. Testar seus conhecimentos de computação.
Por frustração ou desejo de vingança
Muitos autores de virus são adolescentes. Um jovem (inconformado com o fato de que o pai não esta' afim de comprar aquele kit de multimídia para o seu micro), usa o que sabe para ... * Esta hipótese e' pura imaginação. Mas a vontade de sublimar uma raiva atraves de atos de vandalismo existe, como demonstram os pichadores e quebradores de telefones.
Curiosidade: Mesmo para aqueles que tem pouco conhecimento de informática. Uma das melhores formas de se aprender sobre virus e' "criando" um.
Para conseguir acesso a BBSes de virus: Existem BBSes que possuem bibliotecas de virus e códigos fontes como a Viegas BBS (agora desativada) e outras nos EUA e em outros paises. O usuário podia ter acesso a coleção de virus se fornecesse um novo. Muitos criavam ou modifi- -cavam virus já' existentes p. ter esse acesso (alias dois terços dos virus já' registrados são resultado desse intento, sendo muitos considerados fracos ou pouco sofisticados, comparados com os originais).
Para punir: aqueles que copiam programas de computador sem pagar direitos autorais.
Para conseguir fama
Fins militares: Falou-se sobre isso na guerra do golfo, para esconder o uso de uma outra arma de "atrapalhamento" do sistema de computadores do inimigo. Ainda assim, os virus para uso militar são uma possibilidade.
- etc, etc Minha opinião pessoal e' que as pessoas se interessam por virus de computadores da mesma forma que curtem assistir filmes de guerra e colecionam armas de fogo ou facas. O fato de que a pessoa coleciona virus de computador ou cria novos especimes não indica uma vontade de distribuir seus "rebentos" para o publico em geral.

VÍRUS BENÍGNOS

Um deles e' o KOH, criado por King of Hearts, um hacker mexicano. Ele e' um virus que criptografa tudo, de acordo com uma senha escolhida pelo usuário. Desenvolvido com o algoritmo IDEA, e' teoricamente difícil de ser "quebrado". O utilizador desse virus pode "pedir" ao virus para não infectar disquetes ou disco rígidos e controlar sua ação, portanto. Usa técnicas"stealth" e e' invisível portanto a anti virus, podendo mesmo ajudar a evitar alguns tipos de virus. Outro, compacta, a semelhança do programa PKLITE, todo e qualquer arquivo executável que "infecta". O único virus que "reduz" o espaço físico que "ocupa". Sem prejudicar os programas que compacta.

EMULADORES DE VÍRUS

São programas que simulam a ação de virus de computador, para treinamento ou diversão (a custa dos outros). Existe um, antigo, que faz aparecer umas aranhas na tela que "comem" todas as letras do texto digitado. Outro exibe mensagens de erro, com os seguintes dizeres:
1- Erro tal. Sua Winchester esta' cheia de agua.
2- Barulho de Winchester "inundada" aparece no alto-falante do micro.
3- O sistema operacional avisa que vai centrifugar o disco rígido para tirar a agua. Barulho de centrifugacao no alto-falante do micro.
4- Volta o sistema ao normal.
Durante esse tempo todo, nada aconteceu com o seu micro. O teclado ficou travado, mas nenhum arquivo foi deletado, nem mudado de lugar. Mas quem não conhece o dito fica em pânico, e se e' o usuário"TAO" (aquele que aperta bo"TAO" de reset com a ideia de que vai ganhar presente depois), e' capaz de desistir de aprender computação. Mais útil e' o Virsim2, um emulador de virus feito especialmente para treinar gente no combate a anti virus. O programa produz arquivos inofensivos (que são detectados como se fossem infectados por diferentes tipos de virus, ver sessão sobre o funcionamento do Scan). Tambem e' capaz de "infectar" um disquete com um boot virotico (que não infecta o disco rígido ou outros disquetes) ou simular o efeito de um virus na memória. A instalação do programa e' sofisticada, com uma voz (em inglês) explicando o que o programa esta' fazendo no momento, e isso funciona sem placa sound-blaster. Engraçado e' que em algumas firmas onde este programa foi usado constatou-se que nenhum dos arquivos ficticios infectados foi encontrado pelos funcionários. Constatou-se uma apatia total pelo uso de programas anti-virus (já' que não havia virus, não havia medo de virus, então não havia uso dos programas anti-virus instalados).

PROTEÇÃO CONTRA VÍRUS

Os programas Anti-Vírus e antispyware são as ferramentas mais comuns para prevenção. O utilitário analisa um programa de computador antes de executá-lo e encerra-o se reconhecer uma "assinatura" de um código mal-intencionado. Muitos antivírus também avaliam os programas para determinar se eles contêm quaisquer características relacionadas a vírus.O comitê gestor na internet no Brasil tem uma cartilha descrevendo os procedimentos para evitar estes softwares maliciosos[1].
Conhecimento e bom senso
Mas a melhor forma de evitar um vírus é o bom-senso. Se um programa de computador executável está anexado a um e-mail e você não confia na sua origem, ou não estava esperando receber tal anexo, então exclua-o imediatamente. Não baixe nenhum aplicativo ou arquivo executável de origem desconhecida e seja cuidadoso ao trocar arquivos com outros usuários, mesmo que sejam seus conhecidos. Esse tipo de "programa" costuma ser embutido em músicas, vídeos, imagens e principalmente programas de computador. .

NOMENCRATURA DE VÍRUS

Não existe uma convenção sobre o assunto. Enquanto os fabricantes de virus costumam trocar dicas e ideias, os fabricantes de anti virus normalmente se fecham em si, cada qual defendendo o seu mercado. O que e' Athenas para o Scan da Mcafee Software, e' Trojector para o F-Prot do Friedriek Skulasson. O maior documento, e em formato hipertexto, sobre virus, e' o VSUM, produzido pela Patricia Hoffman. Como parece que ela recebe dinheiro da Mcafee, ou porque sua descrição e' duvidosa (não sei o porque na verdade), o fato e' que este documento não e' aceito pela comunidade de pesquisadores anti-virus. Pelo menos não o e' na sua totalidade. Existem vozes discordantes. Num de seus boletins, a firma que produz o F-Prot conta tudo sobre como elabora a nomenclatura de seus virus, mas se trata de uma leitura chata. O "nosso" virus Brazil não aparece na lista deles nem do Scan como tal, por exemplo. Já' um virus chamado Xuxa, muito raro (parece que foi escrito so' p. fins de divulgação) e' chamado como tal. As vezes, o virus e' nomeado por se tratar de uma modificação de outro já' existente ou pelo programa que o produziu (como acontece com os virus produzidos com a ajuda do VCL - ver os kits de producao de virus). As vezes o virus contem um sinal (ele tem que saber como identificar um arquivo virotico, p. não infectar repetidas vezes o mesmo arquivo) e esta característica"batiza" o virus.

PROGRAMAS "FALSOS"

Algumas vezes, aparecem "ultimas versões" ou versões"desprotegidas" de softwares muito utilizados. O sujeito copia, usa em casa, e .. descobre que o software e' na verdade um programa de formatação fisica de Winchester disfarçado de outra coisa. Esse e' o tipo de virus classificado como "cavalo de Tróia" ou "bomba-logica". Na Viegas BBS havia alguns programas do genero, inclu- -sive um "Norton Virus Detector", antecipando em alguns anos a producao do programa anti virus do Norton. Esse tipo de fal- sificacao aconteceu muito com o Scan, o Pkzip e acho que ate' com o Arj. O programa na verdade instalava um virus ou fazia alguma coisa ruim com os dados da winchester. Um caso que deu muito o que falar foi o do "AIDS-virus". Era um programa com informacoes sobre a AIDS. O sujeito respondia algumas perguntas, recebia alguma informacao geral sobre o virus (biologico) e tudo bem. So' depois descobria que todos os nomes, todas as extensoes de arquivo, tudo o que estava na Winchester havia sido alterado. A seguinte mensagem aparecia:
"It is time to pay for your software lease from PC Cyborg Corporation. Complete the INVOICE and attach payment for the lease option of your choice.If you don't use the printed INVOICE, then be sure to refer to the important reference numbers below in all correspondence. In return you will recieve: - a renewal software package with easy to follow, complete instructions; - an automatic, self installing diskette that anyone can apply in minutes."
Isso podia ser uma propaganda contra software pirata, mas na verdade o software foi distribuido gratuitamente como brinde numa convencao internacional sobre AIDS e tambem numa revista de informatica tipo PC-Qualquer coisa. Como ja' foi dito acima, a unica forma de prevencao contra esse tipo de programa e' um software chamado CHK4BOMB, disponivel no subdiretorio virus de qualquer "mirror" do Simtel20. Ainda assim nada realmente e' capaz de garantir que um programa e' ou nao um "cavalo-de-troia".

LABORATÓRIOS de fabricação de vírus

Existem programas feitos especificamente com o proposito de auxiliar iniciantes na arte de fabricar virus sofisticados. Sao os "Virus Construction Tools". Existem bibliotecas de rotinas prontas que podem tornar um virus simples polimor- fico (mais dificil de detectar) sem grande dificuldade p. o programador. E programas que fazem o servico completo ao gosto do "inteligente" que quiser construir seu proprio "monstro". O primeiro foi o GENVIR, construido e distribuido na Franca. Lancado como uma especie de Shareware, e' cheio de menus, mas na hora de produzir o virus ele para. Para receber uma copia que realmente faca o trabalho, a pessoa deveria enviar 120 francos para um endereco na Franca. Um grupo alemao o "Verband Deutscher Virenliebhaber" escreveu o VCS (Virus Construction Set). Esse incorpora um texto escolhido pelo usuario num virus simples, que apos se reproduzir um numero x de vezes, deleta os arquivos de configuracao, como AUTOEXEC.BAT e CONFIG.SYS. Outros kits mais "completos" e "sofisticados" sao o VCL (Virus Construction Laboratory), o PS-MPC (Phalcon/ Skism - Mass Produced Code Generator), o IVP (Instant Virus Production Kit) e o G2 (G ao quadrado). Alguns chegam a produzir virus com caracteristicas avancadas, como cripto- grafacao e otimizacao de codigo virotico(!). Como os fabri- cantes de antivirus tambem se mantem atualizados, os pro- gramas antivirus sao atualizados de forma a detectar os virus produzidos por esses laboratorio.

ALGUMAS CRENDICES

Contaminacao por Modem de computador: Nao existe. Pode-se conseguir um numa BBS ou com um amigo atraves da copia de um programa infectado, mas e' tecnicamente impossivel um micro infectar outro atraves do uso de modem.
Contaminacao por cima da etiqueta de protecao: Tambem impossivel. O que pode ter acontecido e' a infeccao ter sido descoberta depois da colocacao da etiqueta, coisa que acontece com virus "stealth". Essa trava impede a gravacao no disquete e isso funciona a nivel de hardware, nao de software.
E' necessario formatar todos os disquetes para se livrar do virus XXXX: Nem sempre. Tudo depende de se ter ou nao o "disquete de sistema limpo de virus". Com ele e' possivel so' apagar os programas infectados e evitar esse trabalho. De acordo com a minha experiencia e' possivel usar uma ferramenta como o PCTOOLS ou o XTREE para "salvar" os arquivos de dados, sem aumentar a transmissao. Em alguns casos pode ser mais facil formatar e re-instalar tudo do que fazer a limpeza, mas nem sempre. So' software pirata contem virus Nem sempre. O Michelangelo foi distribuido pela primeira vez dentro de 20.000 disquetes distribuidos por uma firma de computacao a seus usuarios. O computador que fazia as copias estava infectado. Houve tambem o caso de um programa famoso de Desktop Publishing cujos disquetes-matriz foram infectados na casa do sujeito encarregado de dar uma ultima olhada, resultando que toda a producao foi infectada.
Calendario de Virus: Essa e' uma favorita da imprensa. Nao se fazem mais as reportagens sobre supersticao na Sexta-feira 13 (como antigamente). Mas com certeza se fazem reportagem sobre o virus Sexta-Feira 13 e o problema dos virus que tem dia certo para ativar. A maior incidencia de virus no Brasil, de acordo com bate-papos com gente que faz acessoria de informatica sao de virus como o Stoned, o Michelangelo, o Jerusalem, o Athenas (trojector) e ultimamente o Freddy. Aqui e ali ocorrem surtos de alguns virus novos, como o GV-MG e o Daniela. Desses, so' um ou dois tem ativacao por dia do ano. O Michelangelo, 6 de Marco, e o Sexta-Feira 13. O pro- -blema e' que se a pessoa for esperta e fizer uma check-up regular no micro, com qualquer programa como o Vshield ou Vacina (ate' mesmo o MSAV do Dos 6.2 e' o suficiente para isso), ira' descobrir o intruso. Para se ter uma ideia, existem versoes modificadas tanto do sexta-feira 13 como do Miguelangelo, que detectam quando o dono do micro desligou para "evitar" o dia fatidico. Funcionam no dia ou na semana seguinte.
Virus "Good Times": Esta e' aconteceu na Internet, mas nao duvido que tenha acontecido tambem em BBSes por ai' afora. Era um aviso sobre um virus que apagava tudo no disco rigido, veiculado em correio eletronico. Funcionava como uma daquelas correntes da felicidade. O sujeito recebia o aviso e re-enviava para todo mundo que conhecia, e esses tambem re-enviavam. O efeito do virus foi "torrar" a paciencia e ajudar a encher o correio eletronico (em alguns servicos de BBS paga-se por quantidade de correspondencia recebida) de muita gente. Depois veio uma segunda onda, a daqueles que avisavam que o virus nao existia.