Vírus

Vírus é a forma mais difundida de programas de computador. Muitos são altamente perigosos, criados para destuir os dados no seu disco rígido. Outros são menos ameaçadores e outros "inofensivos", contudo mesmo estes conhecidos como "inofensivos" custam tempo e dinheiro para serem eliminados. Os vírus são predadores silenciosos; você não sabe que ele está no seu computador até que ele ataque. Com sorte, você será interrompido por uma mensagem dizendo que você foi uma presa fácil. Se você não tiver tanta sorte, talvez você descobrirá que o seu disco rígido foi formatado e os seus dados estão perdidos para sempre.

O tipo mais comum de vírus é o vírus do setor de boot ou vírus da tabela de partição. Estes vírus se estabelecem no setor de boot dos disquetes ou na tabela de partição dos discos rígidos (HD, Winchester) e são ativados sempre que o computador é inicializado por um disco infectaddo. Uma vez ativados, eles ficam residentes na memória e ficam silenciosamente esperando pela oportunidade de infectar outros discos. Quando um vírus deste tipo infecta um disquete, ele geralmente substitui o bootstrap loader no setor de boot do disco com um código que carrega o vírus para a memória. Quando o vírus é carregado e ativado, ele executa o código do bootstrap do setor de boot original (que é normalmente colocado em alguma outra parte do disco pelo vírus) para carregar o sistema operaciona. Quando um vírus deste tipo infecta o disco rígido, ele normalmente infecta o master boot record - o código no primeiro setor físico que inspeciona a tabela de partição e carrega o sistema operacional. O Stoned, o Joshi e o Micheangelo são exemplos deste tipo de vírus.

Outro tipo de vírus facilmente encontrado em PCs infecta os arquivos de programa (executáveis). Este tipo de vírus se liga a um arquico .COM ou .EXE. O vírus fica inativo até que o arquivo .COM ou .EXE infectado seja executado. Quando o arquivo de programa é executado, o código do vírus ligado a ele também é. O vírus pode, imediatamente, procurar por outros arquivos executáveis para infectá-los, ou pode ficar residente na memória para infectar arquivos .COM ou .EXE localizados em disquetes. Muitos destes vírus costumam infectar os arquivos de inicialização do sistema operacional de modo a garantir o seu carregamento na memória caso seja dado um boot através de um disquete infectado. O Jerusalem e o Sexta-Feira 13 são dois exemplos deste tipo de vírus.

Existe um tipo de vírus que, na verdade, não é um vírus, mas é tão perigoso quanto. Os programas desta categoria são chamados Trojan horses (Cavalos de Tróia). Por definição, um vírus é um programa que se espalha de um computador para outro. Um Trojan horse não tenta infectar outros computadores. Ele simplesmente se passa por uma aplicação, um programa qualquer ou utilitário e, então, destrói arquivos no seu disco rígido ou apaga a configuração do CMOS ou faz alguma outra coisa também indesejável.

O vírus de macro, infecta arquivos de documentos (como arquivos do Word e o Excel). Ele entra em ação quando um arquivo infectado é aberto. Ele então tenta infectar outros arquivos (dependendo do vírus, todos os novos documentos que criar serão automaticamente infectados).

Como se Proteger

Você pode pegar um destes vírus através de disquetes, da internet (acessando um site ou por e-mail), da sua rede (caso sua empresa tenha algum usuário descuidado ou desavisado) ou de CDRs (caso isto ocorra, vale lembrar que o vírus não poderá ser removido; sendo assim, esqueça o CDR).

Para uma seguraça razoável é necessário a utilização de um bom antivírus (atualizado, no máximo, de 3 em 3 meses; e com checagem on-line para proteção na internet e em rede), escanear todos os disquetes e CDRs de procedência externa antes de utilizá-los e escanear o seu HD periodicamente (nos anti-vírus mais modernos esta tarefa foi automatizada). Caso mais alguém utilize o seu micro, a atenção deve ser redobrada.

Muitos usuários tem medo de escanear um disquete, temendo que este infecte sua máquina. Contudo, um vírus só pode se proliferar através de um disquete se for dado um boot através deste, ou se for executado um arquivo infectado. Inserir um disquete no drive e escaneá-lo não pode danificar o seu sistema.

Ataques

Worm Klez (nova variante) (19/04/2002)

Uma nova variante de um worm que explora diversas vulnerabilidades no Microsoft Internet Explorer e no Outlook Express está espalhando-se pela Internet. O Win32.Klez.H@mm é uma mutação do worm Klez que teve sua primeira aparição em outubro passado. Como seus antecessores, a nova versão se propaga por e-mail e tenta espalhar-se, copiando-se para arquivos compartilhados em rede. A mensagem que transporta o worm tem a linha de assunto variável e traz um arquivo anexo com uma mensagem que incentiva a vítima a abri-lo.

Uma vez aberto, o worm se replica para todos os endereços eletrônicos cadastrados na agenda do Windows e tenta desabilitar o antivírus que estiver presente no sistema.

Quando é aberto, o Klez.H também instalará uma cópia do vírus W32.Elkern, que infecta arquivos compartilhados em rede e pode travar o sistema.

O novo é que o Klez.H aparentemente tem a capacidade de se espalhar mais rapidamente. As mensagens no campo de assunto e no corpo do e-mail, por exemplo, têm mais variações e o worm parece ser mais eficiente na desativação dos antivírus do que nas variantes anteriores. Além disso, o vírus Elkern que o Klez.H carrega foi modificado para causar mais danos.

Worm Klez (19/04/2002)

Circula pela Internet uma nova praga virtual que tenta enganar o destinatário com um falso pedido de emprego. Trata-se do worm Klez. O invasor, que além de ser enviado automaticamente por e-mail também instala um outro vírus, chega com um dos textos abaixo no campo de assunto: 

Hello How are you? / Can you help me? / We want peace Where will you go? / Congratulations / Don't cry Look at the pretty / Some advice on your shortcoming / Free XXX Pictures / A free hot porn site Why don't you reply to me? / How about have dinner with me together? / Never kiss a stranger

Já o corpo da mensagem exibe o texto I'm sorry to do so,but it's helpless to say sorry. I want a good job,I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? NO more than $5,500. What do you think of this fact? Don't call my names,I have no hostility. Can you help me?

Anexo, a praga traz um arquivo que pode ter qualquer nome. Ao clicar no programa que acompanha o e-mail, o usuário instala o invasor, que cria a chave de registro HLKM\Software\Microsoft\Windows\CurrentVersion\Run\Krn132 = C:\WINDOWS\SYSTEM\krn132.exe, para que ele seja executado toda vez que o computador for ligado. Além disso, é instalado o vírus W95/Elkern.cav, que também entra em ação ao acionar o Windows.

Vírus Pimaf (19/04/2002)

Foi identificado nesta semana um novo vírus, de origem russa e que está sendo identificado por W32/Pimaf@MM. A praga foi escrita em Visual C++ e se passa por um arquivo de imagem para enganar os internautas. Quando executado na máquina da vítima, o Pimaf verifica a existência de um arquivo-texto dentro da pasta C:\Windows. Se o arquivo não existir, é exibida uma caixa de diálogo com uma mensagem de erro.

Segundo a McAfee, o Primaf extrai endereços de e-mail de dentro da pasta de itens enviados do Outlook Express, que são armazenados no sistema como o arquivo SentItems.DBX.

O Pimaf tenta enganar o usuário se passando por um arquivo PIF supostamente contendo apenas imagens. A praga também se autocopia para a pasta do Windows e configura a seguinte chave de registro para assegurar seu carregamento na inicialização do sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows_\CurrentVersion\ Run "(crude string)" = C:\WINDOWS\MyNewPics.PIF.

Vírus SAPvir (19/04/2002)

Os sistemas de gerenciamento de negócios SAP R/3 foram premiados essa semana com o primeiro vírus que ataca especificamente a plataforma.

O código do SAPvir foi escrito em ABAP, Advanced Business Application Programming, a linguagem de programação dos sistemas SAP e parece ter instruções para infectar outros arquivos no sistema local, apesar de não trazer nenhuma carga destrutiva nem explorar recursos de rede para se espalhar, segundo análise inicial de especialistas em SAP.

O SAP R/3 é um sistema integrado amplamente usado pelas grandes corporações para administrar cadeia de suprimentos, setor financeiro e outros departamentos das empresas.

A praga ainda não se espalhou e pode conter bugs que a impedem de funcionar em todas as plataformas SAP. Além disso, o SAPvir precisaria de uma autorização especial para ser "plantado" no sistema SAP. Contudo, o código pode ser facilmente modificado para incluir ações maliciosas.

 

Cavalo de Tróia APSTrojan.sl (19/04/2002)

Se você é usuário do software para troca de mensagens instantâneas da America Online, o AIM, e está com antivírus desatualizado, cuidado. Um novo invasor chamado APSTrojan.sl, um cavalo de Tróia, descoberto nesta semana, tenta roubar os nomes de usuários e senhas do AIM.

A praga também registra o que for digitado e envia esses dados para um endereço de correio no Yahoo.com. Quando executado, o Cavalo de Tróia se autocopia para a pasta Windows\Start Menu\Programs\Startup. Se o AIM não estiver instalado, uma mensagem de erro é apresentada.

Todos as teclas digitadas são armazenadas no arquivo DAT.LOG, no mesmo diretório que o executável do Cavalo de Tróia (pasta Startup). Com essas informações o APSTrojan.sl tenta criar e enviar o arquivo DMSYSMAIL.EML localizado em C:\Program Files\DMSYSMAIL.EML, usando o padrão MAPI de mensagens, para it090d@yahoo.com.

Worm W32.Aphex@mm (W32.Aplore@mm) (19/04/2002)

Cuidado com mensagens instantâneas prometendo conteúdo malicioso. Surgiu um novo worm que tem a capacidade de se espalhar via o Instant Messenger, da AOL, e o Internet Relay Chat (IRC), oferecendo conteúdo pornográfico - características que fazem da praga virtual potencialmente perigosa, apesar de atualmente este worm naão ter carga destrutiva - ele apenas se replica.

"Não é algo que justifique pânico entre os usuários, mas é a única praga que tira vantagem do Aim até agora. Isso mostra como os programadores estão aprimorando-se no modo de explorar as novas tecnologias e a engenharia social para disseminar vírus."

Chamado de W32.Aphex@mm ou W32.Aplore@mm, o novo worm infecta os PCs de várias maneiras. Ao se infiltrar no computador, a praga pode se auto-enviar para todos os endereços cadastrados no Outlook. A mensagem chega com apenas um ponto no campo de assunto do e-mail e, se for aberto o arquivo anexo, o PC é automaticamente contaminado.

Depois de invadir o PC, o worm realiza diversas tarefas. O Aphex se replica enviando mensagens para os cadastrados na lista de endereços do Outlook e pode iniciar o disparo de mensagens instantâneas. No caso do AIM, a praga espera até que o usuário se conecte ao serviço e envia uma mensagem para todos os contatos. Em seguida, substitui sua mensagem com variações de texto, incluindo uma que oferece conteúdo pornográfico gratuito a partir de URL incluída.

Se o contato clicar na URL, o Aphex abre uma janela pop-que diz que o usuário precisa de um plug-in para o navegador. Se concordar com o download, o worm redireciona o navegador de volta para o PC infectado e infecta também o PC do contato.

O Aphex também pode usar o IRC - a primeira versão de um programa para chat na Internet - para se replicar. O worm instala um programa IRC freeware e estabelece uma conexão com um servidor IRC, vai até um canal do IRC e tenta seduzir outros visitantes para clicar em um link similar.

Vírus W32/Hunch.c@MM (19/04/2002)

O W32/Hunch.c@MM foi descoberto no fim de semana passado e traz um texto em espanhol referindo-se ao envio de uma foto, como teria supostamente prometido o remetente da mensagem. Ao abri o arquivo anexo ao e-mail, o sistema local é infectado enquanto a foto é apresentada.

O vírus é copiado para o diretório Windows\System com o nome de THD16.EXE e MSOFFICE.EXE; e uma chave é criada no Registro para carregar a praga na inicialização do sistema. A chave tem a seguinte forma:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\THD16=C:\WINDOWS\SYSTEM\THD16.EXE

Não satisfeito, o Hunch.c apaga ainda cinco arquivos do diretório Windows e subdiretórios, que utilizam as seguintes extensões: BAK, BMP, CDR, CDX, CHM, DBF, DOC, DWG, HLP, HTM, ICO, JPG, MDB, MP3, WAV e XLS.

O Hunch.c também tenta alterar o arquivo AUTOEXEC.BAT e se auto-envia para a lista de endereços do Outlook, bem como periodicamente tenta se copiar para disquetes na unidade A: do sistema infectado.

Worm Chick (01/04/2002)

Mais uma nova praga virtual acaba de ser detectada pela McAfee. Trata-se do VBS/Chick.b@M, um worm de origem desconhecida que chega via e-mail se passando por um arquivo de vídeo. O Chick traz um arquivo anexo com extensão .CHM e geralmente com o nome CAIFANES. O arquivo de ajuda em formato HTML, compilado, contém um script em Visual Basic que envia a praga para os endereços cadastrados na lista do Outlook.

Quando o arquivo CHM é executado, é exibida uma janela com uma mensagem de aviso do Internet Explorer no topo. Clicando no botão YES, o sistema local é infectado.

O worm verifica cada diretório nas unidades C:, D: e E:, à procura do arquivo SCRIPT.INI. Se encontrado, o Chick altera o arquivo com instruções para ser enviado aos usuários do IRC conectados ao mesmo canal da vítima.

A McAfee alerta que a praga é gravada no diretório Windows e a seguinte chave no Registro informa se o invasor já foi enviado a outras pessoas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\chm

Se o valor CHM não for igual a 1, então o Chick passa a ser enviado para o primeiro usuário da lista do Outlook, configurando, em seguida, o CHM para 1 no Registro.

 Worm W32/Goround (02/04/2202)

Se você receber um e-mail em inglês pedindo para executar um arquivo engraçado chamado Angel, não abra. Trata-se de um novo worm, descoberto pela McAfee. O W32/Goround.worm, de origem desconhecida, chega pelo correio eletrônico e pode colocar um sistema infectado em processo constante de reinicialização. Segundo a McAfee, o invasor é enviado para todos os usuários cadastrados na lista de endereços do Outlook e traz o arquivo Angel.app anexado. Quando executado, o worm verifica a existência do arquivo C:\BOOTMGR.SYS. Se o arquivo não estiver presente (o que normalmente ocorre), o worm cria o arquivo e tenta se autocopiar para outros sistemas usando compartilhamentos de rede.

A segunda vez em que o intruso é executado, o C:\BOOTMGR.SYS já estará presente e provocará o desligamento da máquina. Até o momento, a companhia não registrou nenhum caso de infecção no mercado brasileiro.

Worm MyLife (02/04/2002)e

Foi identificada nos últimos dias mais uma variante do worm MyLife. A primeira aparição do worm MyLife foi relatada no início de março. A praga chegava por e-mail, contendo um arquivo anexo compactado que, quando executado, infectava a máquina local enquanto mostrava uma imagem. O worm tentava apagar vários arquivos do sistema, mas por causa de uma falha em sua programação, não efetuava a tarefa com êxito.

No meio de março, surgiu, então, o MyLife.b, que ficou conhecido por trazer uma caricatura de Bill Clinton e tentava corrigir os bugs que impediam a versão original do worm de disparar sua carga destrutiva.

Agora, o MyLife.c é uma outra variação que, segundo a Symantec, pode formatar o disco e apagar arquivos, dependendo do horário do sistema. Se os minutos do horário forem maiores ou iguais a 50 e o worm tiver sido já executado uma vez, a carga destrutiva da praga é disparada.

O MyLife.c chega por e-mail e traz anexo o arquivo List.TXT.scr. O worm se propaga usando os endereços eletrônicos cadastrados no Outlook e a lista de contatos do MSN Messenger.

A maioria dos desenvolvedores de sistemas de proteção já incluíram assinaturas em seus sistemas para detectar o MyLife.c, portanto o ideal é atualizar os antivírus para evitar a infecção.

Fbound (01/04/2002)

Um vírus de origem japonesa, descoberto recentemente promete causar alguns estragos na Web. De acordo com a McAfee, o W32/Fbound.c@MM chega por e-mail e, devido ao seu alto poder de disseminação e aos vários relatórios recebidos pela desenvolvedora em vários países, está sendo considerado de médio risco.

A praga chega em uma mensagem contendo um arquivo anexo que, quando executado, envia o mesmo vírus para todas as entradas encontradas no catálogo de endereços do Windows. Contudo, o Fbound não se instala, nem se manifesta em qualquer lugar do sistema, como fazem geralmente as pragas virtuais.

 Até o momento, a McAfee não identificou nenhum caso no Brasil. De qualquer forma, a desenvolvedora está oferecendo a vacina contra o Fbound no endereço www.nai.com/naicommon/download/dats/find.asp.

 Trojan Coke.exe (01/04/2002)

Segundo informações de internautas, há um Trojan Horse andando por aí mascarado como um simples protetor de telas da Coca Cola (coke.exe). Ao executar o arquivo, aparece a seguinte mensagem “drink a coke and go to hell”; em seguida as informações do seu PC são apagadas e há uma quebra de segurança com relação ao seu e-mail. Trata-se de um Trojan recente, portanto os atuais anti-vírus não oferecem proteção contra ele.