Vírus são programas como outros quaisquer, com a diferença
de que
foram escritos com o único objetivo de atormentar a
vida do
usuário.
Para "pegar" um vírus, você deve obrigatoriamente ou
executar
um programa infectado ou acessar um disquete que
tenha um vírus
escondido. Não há outra forma de
contaminação.
Por isto, é impossível pegar vírus através de
e-mail,
por exemplo. Mesmo que você tenha um programa
infectado,
caso você não o execute, o vírus não irá
contaminar
o seu micro.
Na verdade,
o micro não "pega" vírus nem "fica" com vírus.
Os vírus
ficam alojados secretamente dentro de programas ou
da área
de boot de disquetes ou do disco rígido. Por este
motivo, é
impossível que você compre alguma peça de
computador
"com vírus"; eles necessitam estar armazenados em
algum
lugar, normalmente disquetes e discos rígidos. Como
são
programas, com o micro desligado os vírus não podem
fazer nada,
mesmo que o micro esteja infectado.
Ao executar um programa infectado ou acessar um disquete
contaminado, o vírus passa para a memória (RAM) do micro.
Estando residente em memória, ele passará a interceptar todas
as rotinas de acesso a arquivo e disco do sistema operacional;
sempre que um novo arquivo for acessado, o vírus adicionará uma
cópia de si próprio neste arquivo (caso o vírus seja um "vírus
de arquivo"). Outro tipo de vírus, conhecido como "vírus
de boot" não se esconde em arquivos,mas no setor de boot de
disquetes e de discos rígidos. Esse tipo de vírus grava uma cópia
de si próprio em todos os disquetes que forem inseridos no drive.
Essa é a "fase de contaminação", onde o vírus tenta
se espalhar o máximo possível. Repare que o vírus estará
ativo a partir do momento em que está carregado em memória (RAM).
No caso de vírus de arquivo, eles tratam de infectar logo o
arquivo COMMAND.COM, que é um dos primeiros arquivos a serem
carregados pelo sistema operacional. Como o COMMAND.COM é sempre
carregado, o vírus sempre estará em memória. No caso de vírus
de boot, o vírus é carregado antes do sistema operacional, pois
há uma modificação na rotina de boot do disquete ou do disco rígido.
Por este motivo, não adianta nada executar um programa antivírus
a partir de um micro infectado. Caso você "rode" o
antivírus, o mais provável de ocorrer é o próprio vírus
contaminá-lo, pois ele estará carregado em memória. Ou então,
irá acontecer de você retirar o vírus e ele novamente
contaminar arquivos ou o setor de boot, uma vez que ele ainda
estará presente na memória (RAM). Desta forma, para executar um
programa antivírus, você deverá preparar um disquete de boot (com
o comando FORMAT A:/S) e copiar o antivírus para este disquete.
É claro que este procedimento deverá ser executado em um micro
"limpo", sem vírus. Depois, basta dar um boot com o
disquete antivírus que você preparou, ou seja inserir o
disquete no drive e ligar o micro. Não se esqueça de alterar a
seqüência de boot no setup. Para isto, pressione a tecla [DEL]
durante a contagem de memória; altere a opção "boot
sequence" de "C,A" para "A,C", no menu
"advanced setup". Saia do setup gravando as alterações
feitas. Outro caso muito comum é o do usuário leigo que fica
reclamando "este vírus é danado mesmo; já reformatei o
disco rígido mais de 5 vezes e ele continua lá !" Primeiro
que a formatação do disco rígido só é recomendada em último
caso - quando o antivírus realmente não consegue retirar o vírus
do disco rígido. Em segundo lugar, se você precisar reformatar
o disco rígido, deverá fazê-lo dando um boot com um disquete
"limpo", preparado em um micro não-infectado. Caso você
tente formatar o disco rígido dando boot por ele mesmo, o vírus
irá ser carregado em memória (RAM) e, logo após você ter
acabado de formatar o disco, o vírus irá imediatamente se
copiar para lá... Os vírus ficam nesta fase de contaminação
até entrarem em atividade. Há várias maneiras do vírus entrar
em atividade, a mais divulgada pela mídia é através de uma
data específica. O vírus Michelangelo, por exemplo, entra em
atividade no dia 6 de março, quando, então, destrói dados do
disco rígido. Quando o vírus entra em atividade várias coisas
podem ocorrer. Em geral o micro "fica maluco", com um
comportamento totalmente anormal - o micro fica apresentando
muitas mensagens de erro e "travando" constantemente.
Alguns tipos de vírus destróem dados e outros simplesmente
apresentam mensagens pacíficas.
Os vírus de arquivo ficam armazenados "dentro" de
arquivos
executáveis - geralmente os arquivos com extensão EXE ou
COM. Eles
alteram o arquivo original de forma que sejam
carregados
para a memória (RAM) antes do arquivo original.
Uma vez na
memória, o vírus contamina todos os arquivos
executáveis
que forem chamados a partir de então.
O arquivo
preferido dos vírus é o COMMAND.COM, que é sempre
executado.
Com o COMMAND.COM infectado, todos os programas
que forem
executados após o "contágio" serão automaticamente
infectados
pelo vírus, que tratará de copiar para cada
arquivo
uma cópia de seu próprio código.
Caso você
"rode" um arquivo executável infectado em um micro
"limpo",
isto fará com que o micro seja igualmente
"infectado":
muito provavelmente o vírus procurará o
COMMAND.COM
do micro "limpo" para lá armazenar uma cópia de
seu código.
Importante
notar que os vírus de arquivo são carregados para
a memória
(RAM) somente após você ter executado um arquivo
contaminado. Se você possuir um arquivo contaminado porém
não o
executar, ele não terá como infectar o micro nem como
destruir
dados, já que o vírus não terá como passar para a
memória (RAM).
A seguir
ilustramos o funcionamento de um vírus de arquivo
chamado
Barrotes. Este vírus possui 1.310 bytes de código. O
arquivo
COMMAND.COM do MS-DOS possui 54.619 bytes (este
tamanho
varia conforme a versão utilizada). O arquivo,
quando
infectado, "engordou" 1.310 bytes, passando a ter
55.929
bytes.
COMMAND.COM (54.619 bytes)
Vírus
Barrotes (1.310 bytes)
Total:
Arquivo com 55.929 bytes
Alguns
programas antivírus (como o CPAV e o MSAV) criam uma
lista (checklist)
dos arquivos executáveis e de seus
tamanhos.
Caso um arquivo executável aumente misteriosamente
de tamanho,
o programa antivírus alerta ao usuário a
possibilidade do arquivo estar infectado por um vírus
desconhecido.
É claro
que os criadores de vírus conseguiram burlar este
"problema".
Em geral, os vírus mais recentes, quando estão
em memória
(RAM), forçam o sistema operacional a indicar o
antigo
tamanho do arquivo e não o tamanho com que ele ficou
após
estar infectado.
Vírus de
arquivo só podem ser removidos através de programas
antivírus.
O programa antivírus possui um banco de dados
contendo o
código de vários vírus. Ele compara todos os
arquivos
do disco rígido (ou disquete) com este banco de
dados, na
procura por vírus. Encontrando, este mesmo banco
de dados
aponta como desinfectar o arquivo contaminado.
Como, em
geral, o vírus apenas "cola" o seu código ao
arquivo
executável, a remoção do vírus é possível sem
"estragar"
o arquivo infectado.
Entretanto,
há certos tipos de vírus que sobrepõem parte do
código do
arquivo executável, destruindo automaticamente
parte do
arquivo ao infectá-lo. Com isto, a remoção do vírus
torna-se
impossível, pois o arquivo original não poderá ser
recuperado.
Contudo, o antivírus é capaz de apontar os
arquivos
infectados por vírus deste tipo e recomendar que
eles sejam
apagados. Este é o caso do vírus Freddy Kruegger,
por
exemplo.
Existem milhares de vírus de arquivo. Alguns dos mais
conhecidos
são o Atenas (Trojector) e o Natas.
Os vírus de boot alteram o setor de boot de todos os discos
que
encontrarem a partir do momento em que estiverem
carregados
em memória (RAM). Isto faz com que o vírus seja
carregado
automaticamente para a memória antes mesmo do
sistema
operacional toda a vez em que for dado um boot com
um disco
contaminado.
A seqüência
de boot de um disco com MS-DOS é a seguinte:
BIOS,
Setor de boot, Sistema operacional (MSDOS.SYS e
IO.SYS),
COMMAND.COM, CONFIG.SYS, AUTOEXEC.BAT.
Após a
execução do POST (Power On Self Test, aquele
autoteste
que há sempre em que ligamos o micro), o BIOS do
computador
carrega em memória (RAM) o setor de boot do disco
de boot,
que pode ser o disco rígido ou um disquete,
dependendo
do que o usuário optar. No setor de boot há um
pequeno
programa, chamado bootstrap, responsável por
carregar o
sistema operacional em memória.
O vírus,
quando contamina um disco, altera o código do
bootstrap,
de modo que ele passe a carregar o vírus antes do
sistema
operacional. Portanto, em um disco infectado por um
vírus de
boot, a seqüência de boot seria alterada da
seguinte
forma:
BIOS, Setor de boot (infectado, bootstrap alterado), Vírus
de boot,
Sistema operacional (MSDOS.SYS e IO.SYS),
COMMAND.COM,
CONFIG.SYS, AUTOEXEC.BAT.
Como o código
do bootstrap é sempre o mesmo para todos os
micros que
possuam MS-DOS ou Windows 95, um programa
antivírus
é capaz de identificar rapidamente se um micro
possui ou
não um vírus de boot, comparando o código
bootstrap
existente no disco com o código do bootstap
padrão.
Se eles forem diferentes, há um vírus de boot no
disco.
Isto dá a possibilidade, inclusive, do programa
antivírus
identificar um vírus de boot desconhecido.
A remoção
de um vírus de boot geralmente é muito simples. Se
copiarmos
um setor de boot padrão por cima de um setor de
boot
contaminado, iremos desabilitar o carregamento do vírus
de boot.
Isto é feito facilmente através do comando FDISK
/MBR. É
claro que este procedimento deve ser feito dando-se
um boot
com um disquete "limpo", pois caso o vírus esteja
residente
em memória (RAM), ele contaminará novamente o
setor de
boot do disco rígido logo após você ter limpado o
setor de
boot.
Dissemos que os vírus são ativados somente quando executamos
algum
programa infectado. Graças à uma falha de segurança do
processador de textos Word, é possível fazer com que vírus
sejam
escritos na linguagem de programação do Word - Word
Basic -,
que é utilizada na criação e execução de macros.
Macros são
pequenas rotinas com a finalidade de executar
processos
pré-estabelecidos muito utilizados. Podem ser
utilizados
através da opção "Macro" existente no menu
"Ferramentas"
do Word.
No caso do vírus de macro, eles gostam de bagunçar com o
processador de textos, como por exemplo, trocar opções e
comandos,
bagunçar a impressão, enfim fazer com que o seu
Word tenha
um comportamento anormal.
É claro
que os vírus de macro atacam exclusivamente o
processador de textos. Além disto, este é o único tipo de
vírus
capaz de se alastrar utilizando um arquivo de dados
como meio
de propagação.
Um dos
grandes problemas do vírus de macro é que ele é
multiplataforma, ou seja, roda em qualquer sistema
operacional, seja Windows, Windows 95, OS/2 ou Mac/Os, pois
o vírus
é escrito baseado na linguagem de programação do
Word.
Aliás, o
grande problema hoje em dia é em relação à este
tipo de vírus.
A maioria dos usuários sabe do perigo que os
vírus
representam. Daí, quase todo mundo tem um programa
antivírus.
Entretanto, programas antivírus mais antigos
dificilmente irão detectar vírus de macro. Somente as
versões
mais novas dos programas antivírus detectam com
precisão
este tipo de vírus.
Figura 1: Arquivos infectados com vírus de macro.
Com um
arquivo infectado carregado, observamos as macros que
eram
trazias com ele. Observe na figura a existência de uma
macro
"AutoOpen", responsável pelo "estrago" do vírus.
Figura 2: Texto com vírus de macro. Note a presença da macro
"AutoOpen".
Este tipo
de vírus alastra-se em proporções assustadoras e a
contaminação
é facílima. Basta você abrir qualquer documento
infectado
para que o vírus infecte o modelo global
NORMAL.DOT,
responsável pela configuração do Word. Como o
NORMAL.DOT
é sempre carregado, qualquer arquivo que você
crie ou
abra depois do "contágio" estarão contaminados
também.
Como este
é um tipo de vírus muito novo, a maioria dos
usuários
se esquece de passar um programa antivírus em
disquetes
contendo arquivos DOC emprestados por colegas ou
disponíveis
no trabalho. Até mesmo pela Internet é muito
fácil
pegar este tipo de vírus. Basta que alguém lhe envie
um arquivo
"DOC" infectado anexado a um e-mail (em
"attach").
Aliás, já
que tocamos no assunto, é impossível que um e-mail
contenha
um vírus, somente o arquivo anexado a este, ok ?
São
totalmente falsas as afirmações de que existem certas
mensagens
de e-mail que "estragam" o computador quando
abertas,
pois contém "perigosíssimos" vírus. Mensagens
divulgando
fatos falsos como este são chamadas "spam" e são
altamente
condenadas pela "etiqueta" da Internet.
==================================================================================