Vírus
Um vírus é um pequeno programa informático situado no corpo doutro, que, quando se executa, é carregado em memória e executa as instruções que o seu autor programou. A definição de um vírus poderia ser a seguinte:
“Qualquer programa de computador capaz de infectar outro programa de computador, alterando-o de modo a poder, por sua vez, reproduzir-se.”
O verdadeiro nome dado aos vírus é CPA, ou seja , Código Auto-Propagável, mas por analogia com o domínio médico, foi-lhes dado o nome de “vírus”.
Os vírus residentes (chamados TSR, em inglês Terminate and stay resident) carregam-se na memória viva do computador para infectar os ficheiros executáveis lançados pelo utilizador. Os vírus não-residentes infectam os programas presentes no disco rígido a partir da sua execução.
O campo de aplicação dos vírus vai da simples bola de ping-pong que atravessa o ecrã ao vírus destrutivo de dados, este último sendo a forma de vírus mais perigosa. Assim, visto que existe uma vasta gama de vírus que têm acções tão diversas, os vírus não são classificados de acordo com os seus estragos mas de acordo com o seu modo de propagação e de infecção.
Distinguem-se assim diferentes tipos de vírus :
- Os vermes são vírus capazes de se propagar através de uma rede
- Os cavalos de Tróia(Troianos) são vírus que permitem criar uma brecha num sistema (geralmente, para permitir ao seu programador introduzir-se no sistema infectado para o controlar)
- As bombas lógicas são vírus capazes de se activar após um acontecimento específico (data sistema, activação distante,…)
Há alguns anos, apareceu outro fenómeno, trata-se das fraudes (em inglês hoax), ou seja, anúncios recebidos por mail (por exemplo, o anúncio do aparecimento de um novo vírus destrutivo ou a possibilidade de ganhar um telemóvel gratuitamente) acompanhados de uma nota que lhe diz para reencaminhar a notícia a todos os parentes. Este método tem como objectivo entupir as redes, bem como a desinformação.
Antivírus
Um Antivírus é um programa capaz de detectar a presença de vírus num computador e, na medida do possível, de desinfectar este último. Fala-se assim de erradicação de vírus para designar o procedimento de limpeza do computador.
Existem vários métodos de erradicação :
- A supressão do código que corresponde ao vírus no ficheiro infectado;
- A supressão do ficheiro infectado;
- Pôr em quarentena o ficheiro infectado, consistindo em deslocá-lo para um lugar onde não poderá ser executado.
Detecção dos vírus
Os vírus reproduzem-se infectando “aplicações hóspedes”, ou seja, copiando uma porção de código executável num programa existente. Ora, para não ter um funcionamento caótico, os vírus são programados para não infectar várias vezes um mesmo ficheiro. Integram assim, na aplicação infectada, uma sequência de bytes que lhes permitem verificar se o programa foi previamente infectado: trata-se da assinatura viral.
Os antivírus baseiam-se assim nesta assinatura própria a cada vírus para o detectar. Trata-se do método de investigação de assinatura (scanning), o método mais antigo utilizado pelos antivírus.
Este método só é fiável se o antivírus possuir uma base viral actualizada, ou seja, se comportar as assinaturas dos vírus conhecidos. Contudo, este método não permite a detecção dos vírus ainda não inventariados pelos editores de antivírus. Além disso, os programadores de vírus dotam-nos agora de capacidades de camuflagem, de maneira a tornar a sua assinatura difícil de detectar, ou mesmo indétectable: trata-se dos “vírus polimorfos”.
Este método só é fiável se o antivírus possuir uma base viral actualizada, ou seja, se comportar as assinaturas dos vírus conhecidos. Contudo, este método não permite a detecção dos vírus ainda não inventariados pelos editores de antivírus. Além disso, os programadores de vírus dotam-nos agora de capacidades de camuflagem, de maneira a tornar a sua assinatura difícil de detectar, ou mesmo indétectable: trata-se dos “vírus polimorfos”.
Certos antivírus utilizam um controlador de integridade para verificar se os ficheiros foram alterados. Assim, o controlador de integridade constrói uma base de dados que contêm informações sobre os ficheiros executáveis do sistema (data de modificação, dimensão e, eventualmente, uma soma de controlo). Assim, quando um ficheiro executável muda de características, o antivírus previne o utilizador da máquina.
O método heurístico consiste em analisar o comportamento das aplicações para detectar uma actividade próxima da de um vírus conhecido. Este tipo de antivírus pode assim detectar vírus mesmo quando a base antiviral não foi actualizada. Por outro lado, podem desencadear falsos alertas.
Tipos de vírus
Os vírus mutantes
Na realidade, a maior parte dos vírus são clones ou, mais exactamente, “ vírus mutantes”, ou seja, vírus reescritos por outros utilizadores para alterar o seu comportamento ou a sua assinatura.
O facto de existirem várias versões (fala-se de variantes) de um mesmo vírus torna-os mais difíceis de localizar, na medida em que os editores de antivírus devem acrescentar estas novas assinaturas às suas bases de dados.
Os vírus polimorfos
Na medida em que os antivírus detectam os vírus nomeadamente graças à sua assinatura (a sucessão de bits que os identificam), certos inventores de vírus pensaram em dar-lhes a possibilidade de alterar automaticamente a sua aparência, como um camaleão, dotando os vírus da função de codificação e descodificação da sua assinatura, de modo a que só estes vírus sejam capazes de reconhecer a sua própria assinatura. Este tipo de vírus chama-se “vírus polimorfo” (palavra que provém do grego e que significa “que pode assumir várias formas”).
Os retrovírus
Chama-se “retrovírus” (em inglês bounty hunter) a um vírus que tem a capacidade de alterar as assinaturas antivírus para as tornar inoperacionais.
Os vírus de sector de arranque
O “vírus de sector de arranque” (ou vírus de boot) é um vírus capaz de infectar o sector de arranque de um disco rígido (MBR, master boot record), ou seja, um sector do disco copiado na memória aquando do arranque do computador, e seguidamente executado para começar o arranque do sistema de exploração.
Os vírus trans-aplicativos (vírus macros)
Com a multiplicação dos programas que utilizam macros, a Microsoft criou uma linguagem de certificado comum que pode ser inserida na maior parte dos documentos que podem conter macros, trata-se do VBScript, um subconjunto de Visual Basic. Estes vírus conseguem actualmente infectar os macros dos documentos Microsoft Office, o que quer dizer que tal vírus pode estar situado dentro de um banal documento Word ou Excel, e executar uma porção de código aquando da abertura deste, o que lhe permite, por um lado, propagar-se nos ficheiros, mas também aceder ao sistema de exploração (geralmente Windows).
Ora, cada vez mais aplicações suportam o Visual Basic, por isso estes vírus podem por conseguinte ser imagináveis em numerosas outras aplicações que suportam o VBScript.
O início do terceiro milénio foi marcado pelo aparecimento, com grande frequência, de certificados Visual Basic difundidos por mail em anexo (detectáveis graças à sua extensão .VBS) com um título de mail que leva a abrir o presente envenenado.
O início do terceiro milénio foi marcado pelo aparecimento, com grande frequência, de certificados Visual Basic difundidos por mail em anexo (detectáveis graças à sua extensão .VBS) com um título de mail que leva a abrir o presente envenenado.
Nenhum comentário:
Postar um comentário