Vírus - Introdução aos vírus

Maio 2015

Vírus


Um vírus é um pequeno programa informático situado no corpo doutro, que, quando se executa, é carregado em memória e executa as instruções que o seu autor programou. A definição de um vírus poderia ser a seguinte:

"Qualquer programa de computador capaz de infectar outro programa   
de computador, alterando-o de modo a poder, por sua vez, reproduzir-se."


O verdadeiro nome dado aos vírus é CPA, ou seja , Código Auto-Propagável, mas por analogia com o domínio médico, foi-lhes dado o nome de "vírus".

Os vírus residentes (chamados TSR, em inglês Terminate and stay resident) carregam-se na memória viva do computador para infectar os ficheiros executáveis lançados pelo utilizador. Os vírus não-residentes infectam os programas presentes no disco rígido a partir da sua execução.


O campo de aplicação dos vírus vai da simples bola de ping-pong que atravessa o ecrã ao vírus destrutivo de dados, este último sendo a forma de vírus mais perigosa. Assim, visto que existe uma vasta gama de vírus que têm ações tão diversas, os vírus não são classificados de acordo com os seus estragos mas de acordo com o seu modo de propagação e de infecção.

Distinguem-se assim diferentes tipos de vírus :

  • Os vermes são vírus capazes de se propagar através de uma rede
  • Os cavalos de Troia(Troianos) são vírus que permitem criar uma brecha num sistema (geralmente, para permitir ao seu programador introduzir-se no sistema infectado para o controlar)
  • As bombas lógicas são vírus capazes de se ativar após um acontecimento específico (data sistema, ativação distante,...)



Há alguns anos, apareceu outro fenômeno, trata-se das fraudes (em inglês hoax), ou seja, anúncios recebidos por mail (por exemplo, o anúncio do aparecimento de um novo vírus destrutivo ou a possibilidade de ganhar um celular gratuitamente) acompanhados de uma nota que lhe diz para reencaminhar a notícia a todos os parentes. Este método tem como objetivo entupir as redes, bem como a desinformação.

Antivírus


Um Antivírus é um programa capaz de detectar a presença de vírus num computador e, na medida do possível, de desinfectar este último. Fala-se assim de erradicação de vírus para designar o procedimento de limpeza do computador.

Existem vários métodos de erradicação :

  • A supressão do código que corresponde ao vírus no ficheiro infectado;
  • A supressão do ficheiro infectado;
  • Pôr em quarentena o ficheiro infectado, consistindo em deslocá-lo para um lugar onde não poderá ser executado.

Detecção dos vírus


Os vírus reproduzem-se infectando "aplicações hóspedes", ou seja, copiando uma porção de código executável num programa existente. Ora, para não ter um funcionamento caótico, os vírus são programados para não infectar várias vezes um mesmo ficheiro. Integram assim, na aplicação infectada, uma sequência de bytes que lhes permitem verificar se o programa foi previamente infectado: trata-se da assinatura viral.

Os antivírus baseiam-se assim nesta assinatura própria a cada vírus para o detectar. Trata-se do método de investigação de assinatura (scanning), o método mais antigo utilizado pelos antivírus.
Este método só é fiável se o antivírus possuir uma base viral atualizada, ou seja, se comportar as assinaturas dos vírus conhecidos. Contudo, este método não permite a detecção dos vírus ainda não inventariados pelos editores de antivírus. Além disso, os programadores de vírus dotam-nos agora de capacidades de camuflagem, de maneira a tornar a sua assinatura difícil de detectar, ou mesmo não detectável: trata-se dos "vírus polimorfos".

Certos antivírus utilizam um controlador de integridade para verificar se os ficheiros foram alterados. Assim, o controlador de integridade constrói uma base de dados que contêm informações sobre os ficheiros executáveis do sistema (data de modificação, dimensão e, eventualmente, uma soma de controlo). Assim, quando um ficheiro executável muda de características, o antivírus previne o utilizador da máquina.

O método heurístico consiste em analisar o comportamento das aplicações para detectar uma atividade próxima da de um vírus conhecido. Este tipo de antivírus pode assim detectar vírus mesmo quando a base antiviral não foi atualizada. Por outro lado, podem desencadear falsos alertas.

Tipos de vírus



Os vírus mutantes



Na realidade, a maior parte dos vírus são clones ou, mais exatamente, " vírus mutantes", ou seja, vírus reescritos por outros utilizadores para alterar o seu comportamento ou a sua assinatura.

O facto de existirem várias versões (fala-se de variantes) de um mesmo vírus torna-os mais difíceis de localizar, na medida em que os editores de antivírus devem acrescentar estas novas assinaturas às suas bases de dados.

Os vírus polimorfos



Na medida em que os antivírus detectam os vírus nomeadamente graças à sua assinatura (a sucessão de bits que os identificam), certos inventores de vírus pensaram em dar-lhes a possibilidade de alterar automaticamente a sua aparência, como um camaleão, dotando os vírus da função de codificação e decodificação da sua assinatura, de modo a que só estes vírus sejam capazes de reconhecer a sua própria assinatura. Este tipo de vírus chama-se "vírus polimorfo" (palavra que provém do grego e que significa "que pode assumir várias formas").


Os retro vírus


Chama-se "retro vírus" (em inglês bounty hunter) a um vírus que tem a capacidade de alterar as assinaturas antivírus para as tornar inoperacionais.

Os vírus de setor de arranque


O "vírus de setor de arranque" (ou vírus de boot) é um vírus capaz de infectar o setor de arranque de um disco rígido (MBR, master boot record), ou seja, um setor do disco copiado na memória quando do arranque do computador, e seguidamente executado para começar o arranque do sistema de exploração.

Os vírus trans-aplicativos (vírus macros)


Com a multiplicação dos programas que utilizam macros, a Microsoft criou uma linguagem de certificado comum que pode ser inserida na maior parte dos documentos que podem conter macros, trata-se do VBScript, um subconjunto de Visual Basic. Estes vírus conseguem atualmente infectar os macros dos documentos Microsoft Office, o que quer dizer que tal vírus pode estar situado dentro de um banal documento Word ou Excel, e executar uma porção de código aquando da abertura deste, o que lhe permite, por um lado, propagar-se nos ficheiros, mas também aceder ao sistema de exploração (geralmente Windows).

Ora, cada vez mais aplicações suportam o Visual Basic, por isso estes vírus podem por conseguinte ser imagináveis em numerosas outras aplicações que suportam o VBScript.
O início do terceiro milênio foi marcado pelo aparecimento, com grande frequência, de certificados Visual Basic difundidos por mail em anexo (detectáveis graças à sua extensão .VBS) com um título de mail que leva a abrir o presente envenenado.

Este tem a possibilidade, quando é aberto num cliente de serviço de mensagens Microsoft, de acesser ao conjunto da agenda de endereços e se auto difundir pela rede. Este tipo de vírus chama-se verme (ou worm em inglês).

Para uma leitura offline, é possível baixar gratuitamente este artigo no formato PDF:
Virus-introducao-aos-virus .pdf

A ver igualmente


Viruses - Introduction to viruses
Viruses - Introduction to viruses
Virus - Introducción a los virus
Virus - Introducción a los virus
Virus – Einleitung der Viren
Virus – Einleitung der Viren
Virus informatique
Virus informatique
Virus - Introduzione ai virus
Virus - Introduzione ai virus
Este documento, intitulado « Vírus - Introdução aos vírus »a partir de Kioskea (pt.kioskea.net) está disponibilizado sob a licença Creative Commons. Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença, como esta nota aparece claramente.