- Vírus
Introdução
Vírus é a forma mais difundida de programas de computador. Muitos são altamente perigosos, criados para destruir os dados no seu disco rígido. Outros são menos ameaçadores e outros "inofensivos", contudo mesmo estes conhecidos como "inofensivos" custam tempo e dinheiro para serem eliminados. Os vírus são predadores silenciosos; você não sabe que ele está no seu computador até que ele ataque. Com sorte, você será interrompido por uma mensagem dizendo que você foi uma presa fácil. Se você não tiver tanta sorte, talvez você descobrirá que o seu disco rígido foi formatado e os seus dados estão perdidos para sempre.
O tipo mais comum de vírus é o vírus do setor de boot ou vírus da tabela de partição. Estes vírus se estabelecem no setor de boot dos disquetes ou na tabela de partição dos discos rígidos (HD, Winchester) e são ativados sempre que o computador é inicializado por um disco infectado. Uma vez ativados, eles ficam residentes na memória e ficam silenciosamente esperando pela oportunidade de infectar outros discos. Quando um vírus deste tipo infecta um disquete, ele geralmente substitui o bootstrap loader no setor de boot do disco com um código que carrega o vírus para a memória. Quando o vírus é carregado e ativado, ele executa o código do bootstrap do setor de boot original (que é normalmente colocado em alguma outra parte do disco pelo vírus) para carregar o sistema operacional. Quando um vírus deste tipo infecta o disco rígido, ele normalmente infecta o master boot record - o código no primeiro setor físico que inspeciona a tabela de partição e carrega o sistema operacional. O Stoned, o Joshi e o Micheangelo são exemplos deste tipo de vírus.
Outro tipo de vírus facilmente encontrado em PCs infecta os arquivos de programa (executáveis). Este tipo de vírus se liga a um arquivo .COM ou .EXE. O vírus fica inativo até que o arquivo .COM ou .EXE infectado seja executado. Quando o arquivo de programa é executado, o código do vírus ligado a ele também é. O vírus pode, imediatamente, procurar por outros arquivos executáveis para infectá-los, ou pode ficar residente na memória para infectar arquivos .COM ou .EXE localizados em disquetes. Muitos destes vírus costumam infectar os arquivos de inicialização do sistema operacional de modo a garantir o seu carregamento na memória caso seja dado um boot através de um disquete infectado. O Jerusalém e o Sexta-Feira 13 são dois exemplos deste tipo de vírus.
Existe um tipo de vírus que, na verdade, não é um vírus, mas é tão perigoso quanto. Os programas desta categoria são chamados Trojan horses (Cavalos de Tróia). Por definição, um vírus é um programa que se espalha de um computador para outro. Um Trojan horse não tenta infectar outros computadores. Ele simplesmente se passa por uma aplicação, um programa qualquer ou utilitário e, então, destrói arquivos no seu disco rígido ou apaga a configuração do CMOS ou faz alguma outra coisa também indesejável.
Você pode pegar um destes vírus através de disquetes, da internet, da sua rede (caso sua empresa tenha algum usuário descuidado ou desavisado) ou de CDRs (caso isto ocorra, vale lembrar que o vírus não poderá ser removido; sendo assim, esceça o CDR).
Para uma segurança razoável é necessário a utilização de um bom antivírus (atualizado, no máximo, de 3 em 3 meses; e com checagem on-line para proteção na internet e em rede), escanear todos os disquetes e CDRs de procedência externa antes de utilizá-los e escanear o seu HD pelo menos uma vez por semana (ou quem sabe todos os dias) caso alguém mais além de você utilize o micro.
Muitos usuários tem medo de escanear um disquete, temendo que este infecte sua máquina. Contudo, um vírus só pode se proliferar através de um disquete se for dado um boot através deste, ou se for executado um arquivo infectado. Inserir um disquete no drive e escaneá-lo não pode danificar o seu sistema.
VÍRUS, UMA REALIDADE COTIDIANA
O ano de 1988 foi fundamental para a disseminação dos vírus ao redor do mundo. A popularização dos PCs, e expansão das redes de computadores empresariais e BBSs, aliadas a um mundo incrédulo, negligente e com pouquíssimos especialistas nesse ramo, deixaram que os vírus marcassem o período com eventos que consolidaram o futuro deles em relação aos nossos PCs. A partir de 1988, os vírus deixavam de ser apenas uma curiosidade técnica e científica. Passariam a se tornar, de fato, um problema público, influenciando de forma marcante a na nossa maneira de encarar e lidar com os computadores.
O ano teve surtos dispersos do Brain, Stoned, Cascade e Jerusalém suficientes para enterrar definitivamente a dúvida de se vírus eram ou não realidade. Até então, chegava-se a dizer que os vírus de computador eram frutos da imaginação ou um mito urbano, como os crocodilos nos esgotos de Nova York. Os fatos de 1988 firmaram os vírus como realidade e incentivaram o aparecimento de especialistas em vírus e assuntos afins dos mais variados tipos, além de produtores de anti-vírus. Os primeiros programas destinados para uso anti-vírus eram caracteristicamente de pequenas companhias. Softwares de detecção eram oferecidos por cerca de US$ 5,00 ou na forma de freeware ou shareware.
Mas apesar do baixo custo e, ainda que as pessoas e empresas já soubessem da existência de programas viróticos, pouco se vendeu naquele ano. Raras pessoas estavam decididas a se preocupar seriamente com um problema que era apenas potencial, permitindo que vírus como o Cascade, Stoned e o Jerusalém consolidassem uma base de disseminação em escala global, garantindo que jamais se tornem raros enquanto forem compatíveis com os PCs em uso.
Além disso, as ferramentas para detecção e remoção não eram muito adequadas, fazendo que cada surto e epidemia fosse tratada de maneira específica. Cita-se uma grande epidemia do Jerusalém em uma instituição financeira que teria resultado em dúzias das pessoas fazendo uma limpeza manual de arquivos durante vários dias.
Mas, com as devidas ferramentas, as empresas e instituições poderiam controlar facilmente uma epidemia de vírus de computador. Tudo que precisavam era de um detector de vírus adequado. Ao fim de 1988, a S&S de Alan Solomon desenvolveu um scanner anti-vírus e adicionou algumas outras ferramentas que poderiam ser úteis, lançando o primeiro Anti-Virus Toolkit.
O período também foi marcado pela entrada maciça da mídia. O ano de 1989 tinha uma sexta feira 13 logo em janeiro e a previsibilidade do dia de disparo e o payload destrutivo do Jerusalém, junto com a característica supersticiosa da sexta-feira 13º, resultaram em um enorme estardalhaço na mídia.
Os meios de comunicação também não perderam tempo em divulgar um outro vírus, recém descoberto. Descobriu-se que ele formatava o cilindro zero do disco, apagando a FAT, o que literalmente impossibilitava o acesso aos dados do disco e exibia "Datacrime vírus", o nome pelo qual veio a ser conhecido. Sua data de disparo não é uma sexta-feira 13, mas qualquer data após o dia 12 de Outubro e anterior ao dia 31 de dezembro. Como não é residente em memória e excessivamente destrutivo, sua capacidade de disseminação é reduzida.
Mas, devido à forma como foi divulgado (muitos imaginaram a data de 12 de Outubro como o dia do seu disparo) acabou sendo também chamado de "Columbus Day Vírus" (Vírus do Dia de Colombo). Sua data de disparo era o dia 13 de outubro de 1989, que se deu em uma sexta feira . Os meios de comunicação não podiam querer nada melhor, o Datacrime e o Jerusalem atacariam no mesmo dia - os vírus conquistavam seu lugar definitivo no circo da mídia.
Em 1989 a McAfee é fundada e a IBM já tinha o seu anti-vírus de uso interno, para checar programas e arquivos que entravam na empresa e evitar que ela se tornasse um foco de disseminação. Afirma-se que a IBM tenha determinando, no ano anterior, a High Integrity Computing Laboratory em Yorktown para os esforços de pesquisa no campo de tecnologias anti-vírus, devido a uma embaraçosa situação ocorrida com o Cascade.
Por causa da mídia, muitos clientes da empresa temiam pelo dia 13 de outubro que estava por chegar e, de qualquer forma, mesmo considerando que o risco de se contrair o Datacrime fosse pequeno, já havia se tornado um problema preocupante a possível contaminação de computadores empresariais pelo Jerusalém, Cascade, Stoned ou mesmo pelo PingPong, já que os computadores baseados no 8088 (o primeiro PC IBM e o PC XT) ainda não haviam se tornado raridade. Ainda em Setembro de 1989, a IBM fornece aos seus clientes a primeira versão do seu scaner antivírus.
Ao fim desse ano, duas dúzias de vírus eram conhecidas - quantidade que seria incrementada rapidamente pelo que viria ser conhecido como "The Bulgarian Vírus Factory".
1992: HISTERIA E VÍRUS MACHINES
O ano de 1992 foi marcado por uma crise histérica. Se tornou evidente que a população pouco conhecia a respeito de vírus e que a mídia adorava alimentar o pânico a incentivar o bom senso. Um vírus descoberto em 1991 tinha se mantido osbscuro até então. Seu payload podia apagar o disco rígido. A data de gatilho dele era 6 de Março, o dia do nascimento de Michelangelo. O nome pegou.
Em Janeiro de 1992, um grande fabricante de computadores anunciou que havia despachado 500 PCs contaminados com o vírus. Poucos dias depois outra empresa admitia que acidentalmente havia distribuído 900 disquetes infectados. Era o início de uma campanha histérica que ficaria na história dos vírus. A mídia divulgava a afirmação de que 5 milhões de computadores pelo mundo poderiam cair vítimas do Michelangelo. Os departamentos de marketing das empresas de antivírus tomavam suas providências a fim de captar a atenção da mídia e, oportunamente, promoviam a empresa distribuindo gratuitamente softwares de detecção.
Muitos pesquisadores tentavam desfazer a histeria, mas a mídia simplesmente não dava ouvidos. O pânico percorreu o mundo e as histórias sobre o Michelangelo raramente questionavam as astronômicas estimativas, algumas afirmando que um de cada quatro PCs existentes no mundo cairiam sob o ataque do Michelangelo.
Finalmente, quando o "dia-M" chegou, os cálculos divulgados indicavam que cerca de 10.000 a 20.000 computadores (5.000 a 10.000, segundo um especialista famoso) e não 5 milhões haviam sido vítimas do vírus. O Michelangelo havia se tornado um grande fiasco de alcance mundial. Durante dias não se falou mais sobre vírus na mídia e o fato abalou a reputação dos especialistas (aos quais se creditavam as afirmações e estatísticas alarmantes) e prejudicou o crédito daqueles que tentavam implantar estratégias de defesa contra os vírus.
Também em 1992, foram encontrados os primeiros pacotes destinados à autores de vírus. O VCL (Virus Creation Laboratory) de "Nowhere Man" (do grupo NUKE) e a Dark Angel's Phalcon/Skism Mass-Produced Code Generator foram descobertos em Agosto. Esses pacotes eram "virus machines" que permitiam a qualquer um que utizasse computadores produzisse um vírus. É claro, dúzias de vírus surgiram fabricados por essas máquinas. O próximo passo seria aperfeiçoar tais máquinas para que produzissem vírus realmente polimórficos, eficazes contra a detecção.
Um novo grupo de autores de vírus surgiu em 1993, na Holanda. Chamava-se Trident e o principal autor do grupo, Masouf Khafir produziu o Trident Polimorphic Engine e lançou um vírus utilizando-a, chamado Girafe. Ao contrário de uma polimorfic engine de Dark Avenger, a MtE, o TPE era muito mais difícil de se detectar. Nowhere Man, do NUKE lançou o Nuke Encryption Engine e, Phalcon/Skism, da Dark Angel lançaram o DAME (Dark Angel’s Multiple Encryptor). A Trident lançou a versão 1.4 do TPE, ainda mais difícil de detectar que a anterior. Em 1993 surgiu um vírus altamente polimórfico, chamado Tremor e, Lucifer Messiah, da Anarkick System lançou o PoetCode, usando a versão 1.4 do TPE.
A fácil produção de vírus e sobretudo de vírus polimórficos ia de encontro com a falta de especialistas de nível para desmontar um vírus e descobrir formas de detectá-lo. De certa forma, as crescentes facilidades em se criar vírus fazia com que a quantidade de vírus novos aumentasse mais do que a capacidade de analisá-los. E a possibilidade de se criar vírus polimórficos diferentes em larga escala dificultava ainda mais a capacidade de resposta dos produtores de antivírus em atender a demanda. Os vírus furtivos tentam enganar os checksummers, de forma que alterações nos arquivos não se tornem aparentes. Mas os vírus polimórficos visam os próprios scanners de vírus, de forma a inutilizar a pesquisa por strings. Detectar tais vírus implica em desenvolvimento de algoritmos de detecção, mais complexos do que a pesquisa de strings de detecção e, além disso, alarmes falsos são problemáticos no caso dos vírus polimórficos. Scanners buscando vírus polimórficos podiam acabar indicando alguns arquivos inocentes como suspeitos.
O que são Vírus de Macro?
Uma confusão bastante comum é a crença de que os macrovírus sejam iguais aos vírus convencionais (estes, normalmente feitos em linguagem de baixo nível, como o Assembly). Eles são tão diferentes do ponto de vista técnico, que as formas de detecção antigas simplesmente são inúteis para detectar macrovírus. Antivírus anteriores à 1996 simplesmente não estão programados a verificar instruções em linguagens de macro, muito menos avaliar sua periculosidade.
Os macrovírus são vírus que se utilizam das características das funções "macro" comuns em programas de processamento de texto (Word) e planilhas de cálculo (Excel). Ao contrário dos vírus até então existentes, que se limitavam à arquivos executáveis ou afins e áreas de boot, os macrovírus infectam e se disseminam por arquivos de dados. Isso permite uma disseminação muito mais acentuada pois, documentos e dados são trocados com frequência entre os usuários, ao contrário de programas propriamente ditos. As chances de contaminação através de dados e documentos infectados também são bem maiores comparadas às chances de se inicializar o computador com um disquete contaminado no drive. Além disso, os macrovírus constituem a primeira categoria de vírus multiplataforma, não se limitando à PCs, podendo infectar também outras plataformas que usem o mesmo programa, como o Macintosh, por exemplo.
Em dezembro de 1994, um alerta sobre o potencial dos macrovírus (que ainda não existiam fora da área de pesquisas) foi escrito e publicado por Joel McNamara. Ao fim deste documento, McNamara forneceu o código completo e comentado de um "Macro Vírus de Documentos" (Document Macro Virus - DMV). Além de fornecer o código, o documento estava intencionalmente infectado pelo vírus. Embora a intenção do documento (talvez) tenha sido alertar e instruir, o documento de McNamara foi postado em Newsgroups da Internet e BBSs e, acabou servindo como tutorial para escrever e produzir alguns dos primeiros macrovírus a se disseminarem, como por exemplo, o Nuclear, claramente realizado sobre o DMV. McNamara foi duramente criticado por proeminentes membros da comunidade anti-vírus por tornar o seu documento disponível ao público em geral.
O primeiro macrovírus a se disseminar, o Concept, está associado ao comando "Salvar Como" (Save As) do MS Word. Quando abrimos um documento infectado, automaticamente executamos o codigo virótico. Esse código altera o ambiente interno do MS Word de forma que todos os futuros documentos salvos utilizando a função "Salvar Como" sejam infectados com o código virótico. Construído em Word Basic, usa cinco macros para infectar e se disseminar. As macros se chamam: AAAZAO, AAAZFS, AutoOpen, FileSaveAs e PayLoad. Quando um documento infectado é aberto dentro do Microsoft Word pela primeira vez, o vírus têm o controle da macro AutoOpen e infecta o modelo (template) NORMAL.DOT (ou qualquer outro modelo, se ele estiver selecionado como um modelo default global). Uma caixa de diálogo com o texto "1" aparece na tela. Após isso, todo documento salvo utilizando o "Arquivo - Salvar Como" é infectado com o vírus. Isto normalmente acontece quando um novo documento é criado e salvo no disco. Este vírus trabalha sob as versões do Microsoft Word para Windows 3.x, Windows 95, Windows NT e Macintosh.
Da descoberta do Concept (meados de 1996) até os dias atuais, inúmeras variantes e vírus de macro forma desenvolvidos. Isso se deve à facilidade de se lidar e com as linguagens de macro no que diz respeito à edição e criação desse tipo de vírus, dispensando que o criador seja um especialista em programação, ao contrário do assembly, nem um pouco amigável e altamente abstrato.
Era também natural que após viabilizado e popularizado um macrovírus do MS Word, macrovírus visando outros programas surgissem como o Laroux e o Sofa, que infectam planilhas do MS Excel e o GreenStripe, macrovírus do Lotus AmiPro. Também Trojan Horses que se utilizam de macros surgiram, como o FormatC , que ao ser aberto junto com o documento que o contém, executa uma formatação incondicional do drive C, em uma janela minimizada do DOS.