Como funcionam os vírus

Ir em baixo

Como funcionam os vírus

Mensagem  GABRIEL-MS-DF em Ter Set 02, 2008 7:47 am

Os vírus de computador tendem a prender nossa atenção. De um lado, expõem nossa vulnerabilidade. Um vírus bem engendrado pode ter um espantoso efeito na Internet. Por outro lado, ele nos mostra quão sofisticado e interligado tornou-se o gênero humano.

Especialistas estimam que o vírus Mydoom worm (em inglês) infectou aproximadamente 250 mil computadores em um único dia, em janeiro de 2004 (Times Online - em inglês). Em março de 1999, o vírus Melissa (em inglês) foi tão poderoso que forçou a Microsoft e um grande número de outras grandes empresas a desativar seus sistemas de e-mail até que o vírus pudesse ser contido. O vírus ILOVEYOU (em inglês), em 2000, teve um efeito devastador semelhante. O impessionante é que os vírus Melissa e ILOVEYOU são muito simples.

Neste artigo, vamos discutir sobre os vírus de computador, tanto os “tradicionais” como os novos vírus de e-mail. Vamos aprender como eles funcionam e como podemos nos proteger deles. Os vírus estão em declínio mas, ocasionalmente, encontra-se uma nova maneira de se criar um, e é quando eles viram notícia.

Os vírus de computador são chamados de vírus porque compartilham algumas características com os vírus biológicos. Um vírus de computador se espalha de um computador para outro da mesma maneira que um vírus é transmitido de uma pessoa para outra.

Há também similaridades em níveis mais profundos. Os vírus biológicos não são criaturas vivas. Um vírus é um fragmento de dentro de um invólucro protetor. Diferentemente de uma célula, os vírus não têm capacidade para fazer nada, nem se reproduzirem. Não são seres vivos. Os vírus biológicos precisam injetar seu DNA nas células. O DNA do vírus usa os mecanismos existentes na célula para se reproduzir. Em muitos casos, a célula infla com o novo componente viral até se romper, liberando o vírus. Em outros casos, as novas partículas do vírus enxertam a célula de uma vez, mantendo-a viva.

Os vírus de computador compartilham algumas dessas peculiaridades. Ele precisa ser sobreposto em algum outro programa ou documento para ser executado. Quando executado, é capaz de infectar outros programas ou documentos. Obviamente, a analogia entre vírus de computador e vírus biológico exacerba um pouco os fatos, mas há similaridades suficientes para que o nome se aplique.

Quando ouvimos as notícias, conhecemos muitas formas diferentes de infecção eletrônica. Os mais freqüentes são:

* Vírus - o vírus é um pequeno trecho de programa que se sobrepõe ao programa real. Um vírus pode atacar programas, como um programa de planilhas. Cada vez que o programa de planilha é executado, o vírus também o é, tendo a chance de se reproduzir (atacando outros programas) ou causar destruição.
* Vírus de e-mail - um vírus de e-mail circula em mensagens de e-mail, geralmente replicando-se com o envio automático para dezenas de outras vítimas tiradas do catálogo de endereços do e-mail.
* Worms - o worm é um trecho de um programa que utiliza redes de computadores e falhas de segurança para se replicar. Uma cópia de um worm procura por uma outra máquina na rede que possua uma falha de segurança específica. Ele se copia na outra máquina utilizando-se da falha de segurança e então começa a se replicar a partir da outra máquina também.
* Cavalo de tróia - o cavalo de tróia é simplesmente um programa de computador. O programa alega fazer uma coisa (pode fingir ser um jogo), mas em vez disso ele causa danos quando é executado (ele pode apagar seu disco rígido). Cavalos de tróia não se replicam automaticamente.

O que é um “Worm”?
Worm é um programa de computador que tem a habilidade de se replicar de uma máquina em outra. Os worms esgotam o tempo de processamento de um computador e a capacidade da banda de uma rede quando se replicam, geralmente repletos de más intenções. O worm chamado Code Red virou notícia em 2001. Especialistas previram que ele poderia obstruir a Internet com tanta eficiência que ela poderia ser reduzida a uma rede completamente imobilizada.

Os worms movem-se continuamente infectando outras máquinas através das redes de computadores. Através da rede, um worm pode se proliferar com incrível rapidez. O worm Code Red, por exemplo, multiplicou-se mais de 250 mil vezes, em aproximadamente nove horas, em 19 de julho de 2001.

Um worm, freqüentemente, explora alguma falha de segurança em um trecho de programa ou sistema operacional. Por exemplo, o worm Slammer - link em inglês (que causou confusão e destruição em janeiro de 2003) explorou falhas no servidor SQL da Microsoft. Esse artigo (em inglês) oferece um fascinante exame do pequeno (376 bytes) programa Slammer.

O worm Code Red tornou lento o tráfego da Internet quando começou a se replicar, mas não de forma tão severa como previsto. Cada cópia do worm varreu a Internet à procura de servidores com Windows NT ou Windows 2000 que não tinham instalado o patch de segurança da Microsoft. Sempre que localizava um servidor não seguro, o worm se replicava nele. Esta nova cópia então procurava outros servidores para infectá-los. Dependendo do número de servidores não seguros, o worm poderia, de modo concebível, criar centenas de milhares de cópias.

O worm Code Red foi criado para fazer três coisas:

* replicar-se nos primeiros 20 dias de cada mês
* substituir páginas da web em servidores infectados por uma página que anunciava “Invadido por hackers chineses”
* lançar um ataque concentrado ao servidor da web da Casa Branca em uma tentativa de dominá-lo

A versão mais comum do Code Red é uma variação, comumente chamada de modo mutante, do original Ida Code Red que se replicou em 19 de julho de 2001. De acordo com o Centro Nacional de Proteção à Infra-estrutura:

O worm Ida Code Red, detectado pela primeira vez pelo eEye Digital Security, tirou vantagem das vulnerabilidades conhecidas do serviço ISAPI (Internet Server Application Program Interface) do Microsoft IIS. Sistemas sem correções de segurança são suscetíveis a um “estouro do buffer” no Idq.dll, o que permite ao atacante executar códigos embutidos nos sistemas afetados. Este worm residente na memória, uma vez ativado no sistema, tenta primeiramente propagar-se criando uma seqüência de endereços IP aleatórios para infectar servidores da web não protegidos. Cada thread (parte do programa com funcionamento em paralelo) do worm examinará o relógio do computador infectado. O NIPC determinou que a hora da execução no DOS do worm Ida Code Red era 0h00 horas de 20 de julho de 2001. Isto representava 8 horas da noite na costa leste dos Estados Unidos.

Após o sucesso da infecção, o worm deveria esperar pela hora determinada e conectar-se ao www.whitehouse.gov (em inglês) domínio. Este ataque consistiria em sistemas infectados enviando simultaneamente 100 conexões para a porta 80 do endereço www.whitehouse.gov (198.137.240.91).

O governo americano mudou o endereço IP do site www.whitehouse.gov para evitar a ameaça daquele worm e emitiu um alerta geral sobre ele, advertindo os servidores da Web que usavam o Windows NT ou o Windows 2000 para instalar o patch de segurança.

As pessoas criam os vírus. As pessoas têm de escrever os códigos, testá-los para garantir que eles se propagarão apropriadamente e então libertá-los. Elas têm de projetar a fase de ataque do vírus, se eles serão mensagens bobas ou se destruirão um disco rígido. Por que as pessoas fazem isso?

Existem pelo menos três razões. A primeira é a mesma razão que move vândalos e incendiários. O que leva alguém a querer quebrar o vidro do carro de outra pessoa ou pichar paredes ou queimar uma bela floresta? Para algumas pessoas isso parece ser excitante. Se pessoas como essas sabem programar computadores, elas podem canalizar suas energias para a criação de vírus destrutivos.

A segunda razão tem a ver com a excitação de ver as coisas irem pelos ares. Algumas pessoas têm fascinação com coisas como explosões e carros se destroçando. Provavelmente, na nossa infância, havia uma criança na vizinhança que aprendeu a fazer pólvora e bombas cada vez maiores até que se entediou com elas ou causou sérias lesões em si mesma. Criar vírus que se espalham velozmente é um pouco parecido com isso. Cria-se uma bomba dentro do computador e, quanto maior o número de computadores infectados, mais “divertidas” serão as explosões.

A terceira razão envolve, provavelmente, a excitação em fazer isso ou o desejo de vangloriar-se do feito. Uma espécie de Monte Everest. A montanha está lá, então alguém é compelido a escalá-la. Caso você seja um tipo de programador que se depara com uma falha na segurança que possa ser explorada, você pode simplesmente ser compelido a explorar essa falha antes que alguém o faça e o supere nisso. “Claro, eu poderia CONTAR a alguém sobre a falha. Mas não seria melhor MOSTRAR-LHES a falha?” Este tipo de lógica conduz à criação de muitos vírus.

É claro que muitos criadores de vírus parecem se esquecer que suas criações causam danos reais às pessoas. Destruir tudo em um disco rígido de uma pessoa é, sem dúvida, um grande mal. Forçar funcionários de grandes empresas a perder milhares de horas para se reorganizar após um ataque de vírus é realmente desastroso. Mesmo mensagens tolas causam danos às pessoas que têm de perder tempo para livrarem-se delas. Por isso, as autoridades estão endurecendo cada vez mais com as punições para os criadores de vírus.

Os tradicionais vírus de computador foram amplamente percebidos pela primeira vez no final da década de 80, e seu surgimento deve-se a vários fatores. O primeiro fator foi a proliferação dos computadores pessoais (PCs). Antes da década de 80 os computadores residenciais praticamente não existiam ou eram simples brinquedos. Computadores “de fato” eram raros e tinham o seu uso restrito aos “experts”. Durante a década de 80 os computadores começaram a se difundir nos escritórios e nas casas devido à popularidade do IBM PC (lançado em 1982) e do Apple Macintosh (lançado em 1984). No final da década de 80, os PCs já estavam bem difundidos em escritórios, residências e campus universitários.

O segundo fator foi o uso dos bulletin boards (quadro de avisos) de computador. Podia-se discar para um bulletin board com um modem e baixar programas de todos os tipos. Jogos eram muitos populares, assim como processadores de textos, planilhas, etc. Os bulletin boards conduziram ao precursor dos vírus conhecido como o cavalo de tróia. Um cavalo de tróia é um programa que parece bem legal quando lemos sobre ele. Então, nós o baixamos. Quando vamos executá-lo, entretanto, ele faz coisas desagradáveis como apagar seu disco. Pensamos que estamos baixando um belo jogo, mas ele apaga nosso sistema. O cavalo de tróia infectou um pequeno número de usuários porque foi descoberto cedo. O proprietário do bulletin board pode apagar o arquivo do sistema ou enviar mensagens para alertar os outros.

O terceiro fator que impulsionou a criação de vírus foi o disco flexível. Na década de 80, os programas eram pequenos e sistemas operacionais, processadores de textos (mais alguns outros programas) e alguns documentos podiam ser colocados em 1 ou 2 discos flexíveis. Muitos computadores não tinham discos rígidos e podíamos ligar nossa máquina e carregar o sistema operacional e tudo mais com discos flexíveis. Os vírus tiraram proveito desses três fatores para criar o primeiro programa de auto-replicação.

Os primeiros vírus
No princípio, os vírus eram fragmentos de código acoplados a um simples programa, como um jogo popular ou um processador de textos qualquer. Um usuário poderia baixar um jogo infectado de um bulletin board e executá-lo. Um vírus como este é um pequeno trecho de código embutido em um verdadeiro programa maior. Qualquer vírus é projetado para ser executado primeiro quando o verdadeiro programa é executado. O vírus se auto-carrega na memória e passa a procurar ao redor para ver se pode encontrar qualquer outro programa no disco. Caso encontre um, ele o modifica adicionando o código do vírus no programa insuspeito. Em seguida, o vírus dispara o “programa real”. O usuário não tem a menor chance de saber que o vírus alguma vez já foi executado. Infelizmente, o vírus já se reproduziu e agora dois programas estão infectados. A próxima vez que qualquer dos programas for executado ele infectará outro programa, e o ciclo continua.

Se um dos programas infectados for passado a outra pessoa em um disco flexível ou for carregado em um bulletin board, outros programas serão infectados. Assim os vírus se propagam.

A propagação é a fase de infecção dos vírus. Os vírus não seriam tão temidos assim se tudo o que fizessem fosse replicarem-se. Infelizmente, a maior parte dos vírus também tem a fase destrutiva de ataque em que produzem algum dano. Algum tipo de gatilho ativava a fase de ataque e o vírus então “fazia algo”, como apresentar uma mensagem tola na tela ou apagar todos os seus dados. O gatilho pode correr em uma data específica, depender do número de vezes em que o vírus tenha se replicado ou qualquer outro fato semelhante.
avatar
GABRIEL-MS-DF
Rank: REGULAR
Rank: REGULAR

Número de Mensagens : 100
Idade : 35
Localização : Brasília/DF
Data de inscrição : 21/05/2008

Ver perfil do usuário

Voltar ao Topo Ir em baixo

Re: Como funcionam os vírus

Mensagem  Diego-MS-RO em Qui Set 04, 2008 3:35 pm

anti-vírus adianta? pirat

levando em consideração o custo/benefício..!
avatar
Diego-MS-RO
Rank: NOVATO
Rank: NOVATO

Número de Mensagens : 20
Idade : 32
Data de inscrição : 27/05/2008

Ver perfil do usuário

Voltar ao Topo Ir em baixo

Voltar ao Topo

- Tópicos similares

 
Permissão deste fórum:
Você não pode responder aos tópicos neste fórum