..: Como agem os Vírus de Computador :..

Publicado: 11 de novembro de 2011 em Virus
Tags:, , ,

..: File Infecting Viruses – Virus Simples de Programas :..

Popularmente conhecidos como “Vírus de Programa”, são os que mais causam danos. Atacam os arquivos executáveis, muitas vezes sobrescrevendo o código original, causando danos – quase sempre – irreparáveis.

A única maneira de ser infectado por este tipo de vírus é executando um arquivo já infectado no seu computador. Várias fontes podem ter sido a origem do arquivo infectado: Internet, Email, Rede Local, PenDrive, etc… E não adianta: depois que você rodar o arquivo infectado, o vírus se ativa, e em geral se torna residente em memória, passando a contaminar outros executáveis, seja os que são executados após o vírus ser ativado, ou mesmo os arquivos que estão no diretório atual, ou ainda nos novos dispositivos que você conectar ao computador (pendrives, cartão de memória, etc..).

Alguns vírus de programa geram “arquivos companheiros” (do inglês Companion Files), isto é, para um certo arquivo XPTO.EXE eles criam um companheiro de mesmo nome mas com a extensão .COM (sempre é executado primeiro por se tornar um tipo de “arquivo de sistema”).

A partir da evolução dos programas anti-vírus,  os criadores de vírus foram utilizando diversas técnicas para camuflar seus pequenos rebentos, entre as quais podemos citar:

  • POLIMORFISMO – o código do vírus se altera constantemente;
  • ENCRIPTAÇÃO – o código do vírus é encriptado (com chave de segurança);
  • INVISIBILIDADE (ou técnica de STEALTH) – o código do vírus é removido da memória.

..: Master Boot Record / Boot Sector Viruses – Vírus de MBR :..

Este tipo de vírus infecta o Master Boot Record, ou simplesmente “MBR” dos discos rígidos e/ou a Boot Sector dos dispositivos móveis (cartões de memória, pendrives, disquetes…). A MBR é acessada antes de qualquer outro software (incluindo qualquer programa Anti-Vírus ou sistema operacional), portanto, estes vírus são os mais comuns e os mais bem sucedidos do mundo. Em geral respondem por mais de 65% (a McAfee diz serem mais de 80%) das ocorrências de ataque de vírus.

A única maneira de um computador se contaminar com este vírus é na tentativa de boot por meio de um arquivo (em disquete, pendrive o CD/DVD) contaminado. O setor de boot dos discos possui um código para determinar se um disco é “bootável”, ou para mostrar a mensagem:  “Sistema Sem-Sistema ou Erro de Disco”. É este código, gravado no setor de boot, que ao ser contaminado por um vírus de Boot assume o controle do micro. E assim que a mensagem acima é mostrada na tela já será muito tarde, seu computador já estará infectado.

Quando o vírus é executado, ele toma conta da memória do micro e infecciona o MBR do disco rígido. A cada vez que um dispositivo não contaminado é colocado no drive ou acessado, e se faz uma simples leitura do diretório, uma nova contaminação está pronto para espalhar a infecção.

Enquanto tais vírus ficam residentes em memória é quase impossível descobrir o código do vírus, pois mesmo que se usem programas utilitários (tais como o Norton Editor) o vírus intercepta qualquer chamada do sistema que se dirija à MBR e redireciona tal chamada para um setor em que o vírus gravou o MBR original (e não infectado) do disco.

Para dificultar ainda mais a detecção alguns vírus não tentam contaminar todo o disquete que encontrar no drive, e alguns nem sempre ficam residentes em memória no primeiro boot. Tais técnicas tornam ainda mais problemático o processo de se detectarem tais vírus.

A maioria dos vírus de Boot causam danos, seja diretamente como resultado do seu ataque, ou indiretamente ao gravar a área original do MBR ou do Boot Sector em outro setor, que pode estar ocupado, sendo portanto sobrescrito.

..: Macro Viruses – Virus de Office :..

Este tipo de vírus age através de macros executadas em documentos do Word, ou numa planilha do Excel. A simples abertura do documento pode ativar tal vírus. Quando a macro é ativada (em geral é a macro AutoOpen – tipo de Autoexec das macros) os comandos nela existente se auto copia, além que qualquer outra macro que o vírus necessite, em geral para a memória e em muitas vezes para o MODELO global do Word, o arquivo NORMAL.DOT, onde contaminará qualquer novo documento que for criado, ou qualquer documento que for aberto.

À partir deste momento os vírus de Macro tentam se disseminar para outros documentos, seja através da troca de disquetes, seja pela Rede Local, ou pelas mensagens de E-mail da Internet.

Documentos são muito móveis, muito mais que arquivos executáveis, passando de mão-em-mão (e portanto de máquina em máquina) entre colegas de trabalho, amigos e outras pessoas, que ao escreverem, editarem, ou simplesmente lerem tais arquivos se contaminarão pelo vírus de Macro. Tal característica causa uma verdadeira epidemia – em pouquíssimas horas – dentro de pequenas ou grandes empresas.

Atualmente com as novas políticas de segurança do Office, os vírus de Macro estão praticamente inoperantes, sendo detectados pelo próprio editor, seja ele o Word, Excel ou qualquer outro do pacote Office.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s