Tipos de Vírus

Os vírus de PC pertencem a uma dessas três principais categorias: vírus de programa (ou parasitário), vírus de setor de boot e vírus de macro.





• Os vírus de programa infectam arquivos de programa. Esses arquivos normalmente têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade.

Os vírus de Programa são os vírus que mais danos causam, eles atacam os arquivos executáveis, muitas vezes sobrescrevendo o código original, causando danos - quase sempre - irreparáveis.

A única maneira de ser infectado por este tipo de vírus é rodando um arquivo já infectado no seu computador. Várias fontes podem ter sido a origem do arquivo infectado: Internet, Rede Local, BBS, um disquete. Não importa, após você rodar o arquivo infectado o vírus se ativa, em geral se torna residente em memória, e passa a contaminar outros executáveis, seja os que são executados após o vírus ser ativado, ou mesmo os arquivos que estão no diretório atual, ou ainda nos novos disquetes que você inserir à partir daí nos seus drives.

Alguns vírus de programa geram "arquivos companheiros" (do inglês Companion Files), isto é, para um certo arquivo XPTO.EXE eles criam um companheiro de mesmo nome mas com a extensão .COM (que o DOS sempre executa primeiro.

A partir do aumento da eficácia dos programas anti-vírus, que foram aparecendo ao longo do tempo, os criadores de vírus foram utilizando diversas técnicas para camuflar seus pequenos rebentos, entre as quais podemos citar:

- o POLIMORFISMO (onde o código do vírus se altera constantemente): Têm como principal característica o fato de estar sempre em mutação, ou seja, esse vírus muda ao criar cópias dele mesmo , alterando seu código. Mas, os clones são tão funcionais quanto seu original, ou mais. O objetivo da mudança é tentar dificultar a ação dos antivírus, criando uma mutação, algo diferente daquilo que a vacina procura.

- a ENCRIPTAÇÃO (onde o código do vírus é encriptado): Nesses é muito difícil a ação da vacina.

- a INVISIBILIDADE (técnica de STEALTH, onde o código do vírus é removido da memória): Têm a capacidade de, entre outras coisas, temporariamente se auto remover da memória, para escapar da ação dos programas anti-vírus.

• Os vírus de setor de boot infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. Todos os disquetes e discos rígidos (incluindo discos com dados apenas) contêm um pequeno programa no registro de inicialização que é executado quando o computador é iniciado. Os vírus de setor de boot anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar a partir do disco infectado. Quando um computador é iniciado, uma das primeiras coisas que ele precisa fazer é examinar uma parte especial do seu disco rígido (ou disquete se estiver na unidade de disquete) para ler informações ou códigos sobre como inicializar. Isto é o setor de inicialização. Quando a máquina é iniciada e lê este código especial, ela também "carrega" parte deste código na RAM (memória).

Quando um vírus de setor de inicialização infecta o setor de inicialização da unidade, esta parte do código é substituída pelo vírus ou coexiste ele. Quando o computador infectado é inicializado, ele carrega não só o código normal "limpo", mas também o código virótico. Quando o vírus é carregado na memória, sempre que você tenta acessar um disquete na sua unidade de disquete, este vírus residente na memória verifica se o código está no disquete. Se estiver, nada acontece. Mas se o disquete ainda não estiver infectado, o vírus grava uma cópia dele mesmo nos setores de inicialização do disquete. Se alguém deixar este disquete na unidade de disquete na próxima vez em que o computador for inicializado, o vírus será carregado na memória e recomeçará o processo.

Exemplos de vírus de setor de boot são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como vírus multiparticionados, infecta os registros de boot e os arquivos de programa).

Que acontecerá se você inicializar com um disquete infectado, mas a sua máquina não estiver infectada?

Se você reiniciar um computador usando um disquete infectado, mas a própria máquina estiver limpa, quando este vírus é carregado na memória, ele verifica os setores de inicialização da unidade de disco rígido local para ver se existe uma cópia dele mesmo. Caso contrário, ele copiará a si próprio no setor de inicialização da unidade de disco rígido e infecta a máquina.

Quais São os Riscos dos Vírus de Setor de Inicialização?

Embora os vírus do setor de inicialização não estejam recebendo tanta atenção quanto os vírus de macro, eles ainda dão trabalho. Da mesma forma como você deve tratar toda arma como se estivesse carregada, trate todo disquete como se estivesse infectado. Como os vírus de setor de inicialização se espalham através de disquetes e CDs inicializáveis, todo disquete e CD deverá ser verificado quando à existência de vírus. Softwares compactados, discos de demos de fornecedores e software de teste NÃO são exceções a esta regra. Já foram localizados vírus, até mesmo, em software comercializados no varejo.

Além disso, tenha cuidado com discos utilizados no computador de casa ou no laboratório de informática da escola. É sempre possível que, nestes locais, a proteção antivírus tenha sido desativada e o disquete possa estar infectado. Se este disquete não for verificado, ele pode infectar o ambiente de trabalho também. Atualize as suas definições de vírus, pelo menos, uma vez por semana e ajuste o NAV para verificar todos os disquetes no acesso e ao desligar.

Como Evitar Vírus de Setor de Inicialização ?

- Evite deixar um disco flexível no computador quando desligá-lo. Na reinicialização, o computador tentará ler a unidade de disquete e é neste momento que o vírus de setor de inicialização pode infectar o disco rígido.

- Sempre proteja seus disquetes contra gravação depois de terminar de gravar neles.

• Os vírus de macro infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa.

A simples abertura do documento pode ativar tal vírus. Quando a macro é ativada (em geral é a macro AutoOpen - tipo de Autoexec das macros) os comandos nela existente se auto copia, além que qualquer outra macro que o vírus necessite, em geral para a memória e em muitas vezes para o MODELO global do Word, o arquivo NORMAL.DOT, donde o vírus contaminará qualquer novo documento que for criado, ou qualquer documento que for aberto.

À partir deste momento os vírus de Macro tentam se disseminar para outros documentos, seja através da troca de disquetes, seja pela Rede Local, ou mais recentemente pelas mensagens de E-mail da Internet.

Documentos são muito móveis, muito mais que arquivos executáveis, passando de mão-em-mão (e portanto de máquina em máquina) entre colegas de trabalho, amigos e outras pessoas, que ao escreverem, editarem, ou simplesmente lerem tais arquivos se contaminarão pelo vírus de Macro. Tal característica causa uma verdadeira epidemia - em pouquíssimas horas - dentro de pequenas ou grandes empresas.

Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados. Atualmente pelo menos 60% dos novos vírus descobertos no mundo são do tipo Vírus de Macro