INTRODUÇÃO
Em face dos diversos alertas que são publicados periodicamente na Internet a respeito de supostos vírus que estão atacando ou estão por vir a atacar os computadores, elaboramos esta página para tentarmos esclarecer algumas peculiaridades sobre as diversas formas que caracterizam o vírus em si, bem como as suas variações (worms, trojans, backdoors, correntes, hoax, spam, e-mail vírus, entre outros).
AFINAL, O QUE SÃO VÍRUS?
O que comummente chamamos de vírus são pequenos programas que, por definição, não funcionam por si só sendo criados para infectar um arquivo executável ou arquivos que utilizam macros, ou seja, ficam geralmente escondidos dentro da série de comandos de um programa maior, e possuem instruções para parasitar e criar cópias de si mesmo de forma autónoma e sem autorização específica (e, em geral, sem o conhecimento) do utilizador para isso, através do acesso ao seu livro de endereços, sendo, portanto, auto-replicastes.
COMO OCORRE A INFECÇÃO
Vírus, além da característica auto-replicador, podem causar muitos problemas ao seu computador, podendo, por exemplo, diminuir a performance do sistema, alterar ou apagar determinados arquivos, mostrar mensagens, formatar drives, tornar o computador acessível à distância (permitindo o controle da máquina por outra pessoa em outro computador, sem que o usuário saiba). Além disso, determinados tipos podem começar a agir a partir de eventos ou condições que seu criador pré-estipulou tais como quando atingir uma determinada data do calendário, ou depois que um determinado programa rodou um número específico de vezes, ou através de um comando específico, entre outros. Existem muitos tipos diferentes de vírus auto-replicantes que todos os dias são lançados pelo menos 25 novos vírus de macro, cada vez mais sofisticados e prejudiciais.
Para infectar uma máquina, um vírus pode ser repassado através de documentos, programas, disquetes, arquivos de sistemas, entre outros, previamente infectados. Arquivos executáveis, tais como os de extensão __.exe, __.bat e __.com, geralmente são os alvos preferidos para transmissão, por isso, deve-se evitar enviá-los ou recebê-los. Já os arquivos de dados, som (__.wav, __.mid), imagem (__.bmp,__.pcx, __.gif, __.jpg), vídeo (__.avi, __.mov) e os de texto que não contenham macros ( __.txt, __.wri) podem ser abertos sem problemas.
A cópia de programas (download, seja via ftp como via http) e o serviço de e-mail são serviços que possibilitam a entrada de arquivos infectados na sua máquina, por isso, deve-se ter cuidado com mensagens estranhas, principalmente se vierem de pessoas estranhas. Ou seja, como regra geral pode-se assumir que não se deve executar arquivos recebidos, especialmente arquivos executáveis, a menos que se conheça o remetente e que se tenha certeza que ele é cuidadoso e usar algum antivírus actualizado.
Mas, na quase totalidade dos casos pode-se admitir que a simples recepção e a visualização de uma mensagem não contamina o computador receptor.
ALGUNS TIPOS DE VÍRUS
Vírus de Programa (File Infecting Viruses)
Os vírus de programa são aqueles que normalmente infectam arquivos cuja extensão é .exe e .com, havendo também alguns que contaminam arquivos com outras extensões, como os .dll, as bibliotecas compartilhadas e os .ovl. Há tipos destes vírus que se replicam, contaminando outros arquivos, de maneira silenciosa, sem interferir com a execução dos programas que estão contaminados, podendo assim não haver sinais perceptíveis do que está acontecendo no micro. Outros vão se reproduzindo até que, em uma determinada data, ou conjunto de factores, seja alcançado.
Somente aí então é que começa a sua ação. A infecção se dá pela execução de um arquivo já infectado no computador. Há diversas origens possíveis para o arquivo infectado: Internet, Rede Local, BBS, uma disquete. Geralmente a infecção ocorre quando clicamos arquivos anexados à uma mensagem, cuja extensão é uma destas já mencionadas, por isso, devemos ter um certa cautela ao enviar e receber esses arquivos pois, é claro que um usuário normal não colocaria um vírus no executável, mas você (ou qualquer pessoa) pode ter uma cepa de vírus auto-replicador e pode auto inserir-se num executável que esteja a ser enviado. Até mesmo as pessoas que são suas amigas de confiança podem enviar-lhe programas infectados, sem saber que estão infectadas (ex: Bubbleboy, Happy99, Melissa, MXT), ou uma outra pessoa pode usar o nome de algum amigo, para enviar um programa em um e-mail com o remetente falso. As pessoas mais conscienciosas estão evitando a todo custo executar principalmente os arquivos com extensão .exe, apagam qualquer executável que recebem seja de quem for, receosas de infectarem os seus sistemas. Este é um cuidado muito recomendável para todos os pessoas que usam computadores.
Vírus de macro
Ao usarmos determinados tipos de programas, como por exemplo editores de texto, e necessitamos executar uma tarefa repetidas vezes em sequência (por exemplo, substituir todos os “não” por “não”) pode-se editar um comando único para efectua-las, que é chamado de macro. Este programa pode ser salvo num modelo para ser aplicado noutros arquivos, funcionando também com próprios arquivos modelos. Os vírus de macro atacam esses arquivos comprometendo o funcionamento do programa sendo os alvos principais os próprios editores de texto (Word) e as planilhas de cálculo (Excel) e, justamente por isso, são bastante disseminados, uma vez que ao escrever, editar ou, simplesmente, ler arquivos vindos de computadores infectados a contaminação ocorre. Assim, verdadeiras “epidemias” podem acontecer em pouco tempo. Os macro-vírus constituem a primeira categoria de vírus multi plataforma, ou seja, não se limitam aos computadores pessoais, podendo infectar também outras plataformas que usem o mesmo programa, como o Macintosh, por exemplo. A facilidade de lidar com as linguagens de macro, dispensando que o criador seja um especialista em programação causou o desenvolvimento de muitos vírus, bem como variantes e vírus de macro.
Vírus de Boot (Master Boot Record / Boot Sector Viruses)
Todo disco interno de uma máquina, bem como as disquetes, possuem uma área de inicialização reservada para informações relacionadas à formatação do disco, dos directórios e dos arquivos nele armazenados (registo mestre do Sistema, o Master Boot Record - MBR dos discos rígidos ou a área de boot dos disquetes -Boot Sector ). Como todos os discos possuem também um pequeno programa de boot (que determina onde está ou não o sistema operacional e reconhece, inclusive, os periféricos instalados no computador), os vírus de boot podem “esconder-se” em qualquer disco ou disquete. Portanto, o facto de esquecermos uma disquete contaminado dentro do drive A faz o vírus infectar a máquina, pois o sector de boot da disquete possui o código que determina se uma disquete é “bootável” ou não e é este código, gravado no sector de boot que, ao ser contaminado, assume o controle do micro. Assim que o vírus é executado ele toma conta da memória do micro e infecciona o MBR do disco rígido. A partir daí o vírus é facilmente disseminado pois cada disquete não contaminado, ao ser colocado no drive e ser lida pode passar a ter uma cópia do código e, nesse caso, é contaminado.
Vírus Multipartite
São uma mistura dos tipos de boot e de programa, podendo infectar ambos: arquivos de programas e sectores de boot. São mais eficazes na tarefa de se espalhar, contaminando outros arquivos e/ou discos e são mais difíceis de serem detectados e removidos.
Outras características
Entretanto, para tentar impedir a detecção pelos anti-vírus algumas capacidades foram dadas a qualquer um
dos tipos de vírus acima. Assim, cada um desses três tipos de vírus podem ter outras características,
podendo ser:
- Polimorfismo: o código do vírus altera-se constantemente, está sempre em mutação, portanto, o vírus muda ao criar cópias dele mesmo tão poderosas quanto o seu original. Essas mudanças ocorrem com o intuito de dificultar a acção dos antivírus, criando algo diferente daquilo que a vacina do anti-vírus procura.
- Invisibilidade : também chamado Stealth, onde o código do vírus é removido da memória temporariamente
para escapar da acção do anti-vírus.
- Encriptação: o código do vírus é encriptado, tornando bastante difícil a ação do anti-vírus.
Worms, trojans, backdoors, correntes, hoax, spam, e-mail vírus:
- Worms (ou vermes): são entidades cuja característica principal é o fato de serem autónomas, ou seja, que não necessitam se anexar a um programa ou arquivo “hospedeiro”, além de terem capacidade de auto-duplicação e residirem, circularem e se multiplicarem em sistemas multi-tarefas. Recentemente surgiu um novo tipo de worm que se propaga por mails e não necessita de arquivos anexados, chamado de Bubbleboy cuja contaminação ocorre apenas pela abertura da mensagem de correio electrónico, caso este seja escrito em html, e que, felizmente, tem acção restrita a alguns programas.
- Trojans: são programas cujo objectivo é oculto sob uma camuflagem de outro programa útil ou inofensivo, ou seja, ele diz que faz uma coisa (que pode fazer ou não) mas também faz outra, sendo que esta segunda acção pode danificar seriamente o computador. As principais diferenças entre trojans e vírus são que trojans não são auto-replicáveis, logo, não objectivam a própria disseminação como os vírus, podendo então permanecer indefinidamente na máquina ou se auto-destruir depois de apagar ou corromper os dados para os quais foi programado danificar; são autónomos (não precisam infectar programas ou sectores de boot, por exemplo, para serem executados); podem ser activados por diversos tipos de gatilhos, sendo tanto disparado pelo próprio utilizador ao executa-lo, como através de sequências lógicas de eventos ou mesmo por uma data ou período de tempo. Uma excepção de tipo auto-irreplicável de trojan surgiu em Janeiro de 1999 e chama-se happy99. Como os trojans não se limitam às características dos vírus são potencialmente mais perigosos.
- Backdoors: programas que instalam um ambiente de serviço em um computador, tornando-o acessível à distância, o que permite o controle remoto da máquina sem que o utilizador saiba. O computador pode então ser totalmente controlado de longe por outra pessoa, em outro computador, que poderá ver seus arquivos, ler seus emails, ver todas suas senhas, apagar os seus arquivos, fazer o boot na sua máquina, ligar via rede a outras máquinas as quais você tenha acesso, executar programas no seu computador, fazer login em todas as teclas digitadas da máquina para um arquivo (comprometendo acessos a sites seguros que usam cartão de crédito, homebanking etc) e formatar o seu disco. Os mais famosos programas desse tipo são o Back Oriffice e o Netbus.
Os backdoors são programas simples e pequenos que tornaram possível que qualquer pessoa não especializada possa invadir um computador sem dificuldade.
- Correntes: são mensagens enviadas para várias pessoas, cujo endereço eletrónico geralmente foi incluído numa mala directa sem a devida permissão, onde o conteúdo pode ser um pedido para o receptor enviar a mensagem para um determinado número de pessoas, podendo inclusive ser uma ameaça ou uma isca (no caso de um pedido, afirmando que essa mensagem ajudará alguém em algum lugar distante).
As pessoas reproduzem a mensagem achando que estão a fazer bem, quando na verdade, estão prejudicando o sistema, pois, independente da procedência e dos objetivos (sejam eles humanitários, de protesto ou de apoio) o que acontece é prejuízo para pessoas e organizações mundo afora, pois o envio indiscriminado de dezenas, centenas e até milhares de mensagens gera um tráfego absurdo, inútil e desnecessário na Internet e demonstra a desinformação dos internautas, uma vez que um dos maiores objectivos de uma corrente é entupir o correio electrónico das redes de comunicação, seja via e-mail seja via mensageiros instantâneos (tais como ICQ). Pois, ao redistribuirmos essas mensagens, ajudamos a aumentar esse tráfego, o que torna a resposta dos servidores cada vez mais lenta, causando assim perda de tempo útil, de produtividade, degradação do tempo de resposta do ambiente de correio das redes de comunicação etc. O reenvio indiscriminado de mensagens é tão grande que há nome diferentes para identificar esse fenómeno:
* Spam é uma mensagem não solicitada, enviada para várias pessoas. Exemplo: propagandas.
* Hoax é uma mensagem mentirosa também não solicitada, geralmente de conteúdo alarmista, normalmente uma ameaça, cujo objectivo é assustar o internauta e fase-lo continuar a corrente interminável de e-mails indesejados, para assim gerar congestionamento dos servidores de e-mail. Seguem algumas dicas que podem ajuda-lo a reconhecer ameaças falsas de vírus:
- O autor da mensagem sempre coloca o nome de uma empresa grande como autora da descoberta para tentar dar veracidade à ameaça (IBM, Microsoft, etc);
- Parte ou toda a mensagem é escrita em letras maiúsculas, de forma a chamar bastante atenção; -No texto há sempre um pedido para que o usuário repasse o e-mail para o maior número de pessoas
possível; -O autor nunca dá nome ao suposto vírus; -Não há arquivos anexados de nenhum tipo.
Se ainda assim, tiver duvida, lembre-se:
* Empresas como Microsoft ou CNN não descobrem vírus;
* Quando a ameaça é real, empresas de antivírus costumam soltar um comunicado oficial alertando para o grau de destruição e de relevância do vírus novo, geralmente nos seus sites, bem como na grande imprensa, ou seja, é amplamente divulgado nos meios de comunicação. Portanto, deixar de usar a tecla Encaminhar -”Forward” em mensagens alarmistas é um excelente procedimento, ou então, confirme se o texto é verdadeiro, antes de reenviar.
PROGRAMAS ANTIVÍRUS
As ferramentas para combater os vírus são hoje um rentável ramo do mercado da informática. Seguindo a tendência evolutiva dos computadores, dos programas e dos próprios vírus, os chamados ‘programas anti-vírus’ são hoje complexas ferramentas; algumas, como o Mcafee Viruscan e o Norton Anti-virus, trabalham em rede e possuem sofisticados mecanismos de detecção e desinfecção.
Na maioria dos casos, o próprio utilizador tem condições (desde que munido da ferramenta correcta) de corrigir um computador infectado por vírus. Contudo, especialmente no caso de redes empresariais com elevado número de terminais, torna-se inevitável o auxílio de uma consultoria especializada. Uma das barreiras de defesa que também existem contra vírus são os chamados filtros de e-mails. Leia mais à respeito logo abaixo. Infelizmente não existem computadores imunes a vírus, devido a um fato simples, mas essencial e que não pode ser desprezado em nenhuma estratégia de prevenção contra vírus de PC e seus possíveis danos: não existem programas que possam nos dar 100% de protecção pois novos vírus estão sempre a surgir e são projectados para burlar os antivírus.
Arquivos que não são actualmente verificados por antivírus hoje podem ser hospedeiros de vírus amanhã. Por exemplo, até o surgimento dos vírus de macro , os antivírus normalmente não verificavam arquivos *.DOC e mesmo quando habilitadas a verificar, não eram programados para descobrir macros viróticas, o que permitiu que inúmeros computadores devidamente protegidos por antivírus se infectassem e se tornassem disseminadores de vírus de macro. Hoje em dia é absolutamente necessário instalar um programa antivírus (ou mais que um) no computador e actualizará-lo frequentemente, pois muitos desses programas não são apenas antivírus, mas também tem actividade antitrojan, antiworm e antibackdoors. Existem vários programas antivírus bons e gratuitos disponíveis na Internet, mas é muito importante também notar se o programa exige medidas de prevenção, que geralmente são:
- Prevenção de infecção: barreiras de verificação e monitores residentes em memória são as linhas de defesa para evitar a contaminação do PC.
- Prevenção contra danos: disquetes de inicialização, disquetes de emergência criados por softwares antivírus e backups para neutralizar ou minimizar os danos quando já estamos infectados.
FILTROS DE E-MAIL
São uma das barreiras de defesa contra vírus e também contra a prática de spam, também conhecida como “spamming” . Esses filtros ficam instalados no provedor de acesso à Internet ao qual você está ligado, ou no caso de redes pessoais, aos servidores nos quais a rede está instalada. Alguns programas clientes de e-mail apresentam funcionalidades que permitem filtrar e-mails de spam. Novamente, tais funcionalidades não resolvem todos os problemas, mas podem enganar um pouco a questão, diminuindo o volume de e-mails na sua caixa e-mail e a possibilidade da sua máquina ser infectada. Lembrem-se sempre de relatar ao administrador de vossa rede o recebimento de spams, ele poderá incrementar a política de defesa contra spam da rede como um todo.
PREVINA-SE, LEMBRANDO SEMPRE:
1. Ter um antivírus ou internet security é a mais eficiente forma de proteger-se contra a contaminação de vírus, por isso, jamais execute um programa, abra um arquivo ou o conteúdo de uma disquete sem antes passar pelo antivírus.
2. Mantenha seu antivírus actualizado (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que actualizam a lista dos novos vírus e vacinas).
3. Use softwares somente de fontes confiáveis.
4. Verifique periodicamente o seu disco.
5. Mantenha desactivada a opção de executar documentos directamente do programa de correio electrónico.
6. Jamais execute programas que não tenham sido obtidos de fontes absolutamente confiáveis.
