|
Esse tipo de vírus agrega-se a arquivos
executáveis (normalmente extensão COM e EXE),
embora possam também infectar arquivos que sejam
requisitados para a execução de algum programa,
como os arquivos de extensão SYS, DLL, PRG, OVL,
BIN, DRV (esta última é a extensão dos arquivos
que controlam o funcionamento do mouse, do CD-ROM,
da impressora, do scanner ...).
Arquivo de extensão SCR, que é a extensão dos
screen saver (protetores de tela), também podem
ser infectado, pois estes arquivos são, na
verdade, executáveis comuns, salvos com outra
extensão. Isto é feito para que o Windows possa
reconhecer automaticamente esse tipo de arquivo.
Neste tipo de virose, programas limpos normalmente
se infectam quando são executados com o vírus na
memória em um computador corrompido.
Os vírus de arquivos dividem-se em duas classes,
os de Ação Direta e os Residentes. |
|
Vírus de Ação Direta
|
|
Essa classe de vírus seleciona um ou mais
programas para infectar cada vez que o programa
que o contém é executado. Ou seja, toda vez que o
arquivo infectado for executado, novos programas
são contaminados, mesmo não sendo usados.
Como isto acontece?
Uma vez contaminado um arquivo, o programa (vírus)
faz uma procura no HD por arquivos executáveis.
Cada arquivo encontrado é colocado em uma lista,
após, na nova execução do arquivo contaminado, o
vírus seleciona aleatoriamente um ou mais
arquivos, e esses também serão contaminados. |
|
Vírus Residentes
|
|
Essa classe esconde-se em algum lugar na memória
na primeira vez que um programa infectado é
executado. Da memória do computador, passa a
infectar os demais programas que forem executados,
ampliando progressivamente as frentes de
contaminação.
Um vírus também pode ser ativado a partir de
eventos ou condições pré-determinadas pelo
criador, como data (como o Sexta-feira 13, por
exemplo), número de vezes que um programa é
rodado, um comando específico, etc. |
|
Vírus de Sistema ou Vírus de Boot
|
|
Infectam códigos executáveis localizados nas áreas
de sistema do disco. Todo drive físico, seja disco
rígido, disquete ou cd-rom, contém um setor de
boot. Esse setor de boot contém informações
relacionadas à formatação do disco, dos diretórios
e dos arquivos armazenados nele.
Além disso pode conter um pequeno programa chamado
de programa de boot (responsável pela
inicialização do sistema), que executa a "carga"
dos arquivos do sistema operacional (o DOS, por
exemplo). Contudo, como todos os discos possuem
área de boot, o vírus pode esconder-se em qualquer
disco ou disquete, mesmo que ele não seja de
inicialização ou de sistema (de boot).
Um comportamento comum entre os vírus de boot que
empregam técnicas mais avançadas invisibilidade é
exibir os arquivos de boot originais sempre que
for feita uma solicitação de leitura do sector 1
da track 0. Enquanto o vírus estiver residente na
memória, ele redireciona todas as solicitações de
leitura desse setor para o local onde o conteúdo
original está armazenado. Essa técnica engana as
versões mais antigas de alguns antivírus. Alguns
vírus, ainda mais avançados, chegam a marcar o
setor onde o os arquivos de boot originais foram
colocado, como sendo um setor ilegível, para que
os usuários não possam descobrir o setor de boot
em um lugar considerado incomum. |
|
Uma explicação técnica:
|
|
O primeiro setor físico (track 0, sector 1, head
0) de qualquer disco rígido de um PC, contém o
Registro de Partida e a Tabela de Alocação de
Arquivos (FAT). Os vírus de MBR (Master Boot
Record) atacam esta região dos discos rígidos e se
disseminam pelo setor de boot do disco. Quando a
FAT é corrompida, por exemplo, você perde o acesso
à diretórios e arquivos, não porque eles em foram
atacados, mas porque o seu computador não consegue
mais acessá-los. |
|
Observações: |
|
·
Track ou Trilha:
uma série de anéis concêntricos finos em um disco
magnético, que a cabeça de leitura / gravação
acessa e ao longo da qual os dados são armazenados
em setores separados.
·
Sector ou Setor:
menor área em um disco magnético que pode ser
endereçada por um computador. Um disco é dividido
em trilhas, que por sua vez são divididos em
setores que podem armazenar um certo número de
bits.
·
Head ou Cabeça:
transdutor que pode ler ou gravar dados da e na
superfície de um meio magnético de armazenamento,
como um disquete ou um winchester. |
|
Vírus Múltiplos
|
|
São aqueles que visam tanto os arquivos de
programas comuns como os setores de Boot do DOS e
/ ou MBR. Ou seja, correspondem as combinações dos
dois tipos descritas acima. Tais vírus são
relativamente raros, mas o número de casos aumenta
constantemente. Esse tipo de vírus é extremamente
poderoso, pois pode agir tanto no setor de boot
infectando arquivos assim que eles forem usados,
como pode agir como um vírus de ação direta,
infectando arquivos sem que eles sejam executados.
|
|
Vírus de Macro
|
|
É a categoria de vírus mais recente, ocorreu pela
primeira vez em 1995, quando aconteceu o ataque do
vírus CONCEPT, que se esconde em macros do
processador de textos MicroSoft WORD.
Esse tipo de vírus se dissemina e age de forma
diferente das citadas acima, sua disseminação foi
rápida especialmente em função da popularidade do
editor de textos Word (embora também encontramos o
vírus na planilha eletrônica Excel, da própria
MicroSoft).
Eles contaminam planilhas e documentos (extensões
XLS e DOC). São feitos com a própria
linguagem de programação do Word. Entretanto a
tendência é de que eles sejam cada vez mais
eficazes, devido ao fato da possibilidade do uso
da linguagem Visual Basic, da própria Microsoft,
para programar macros do Word.
O vírus macro é adquirido quando se abre um
arquivo contaminado. Ele se autocopia para o
modelo global do aplicativo, e, a partir daí, se
propaga para todos os documentos que forem
abertos. Outra capacidade inédita deste tipo de
vírus é a sua disseminação multiplataforma,
infectando mais de um tipo de sistema (Windows e
Mac, por exemplo).
|
|
Vírus Stealth ou Furtivo |
|
Por volta de 1990 surgiu o primeiro vírus
furtivo(ou stealth, inspirado no caça Stealth,
invisível a radares). Esse tipo de vírus utiliza
técnicas de dissimulação para que sua presença não
seja detectada nem pelos antivírus nem pelos
usuários. Por exemplo, se o vírus detectar a
presença de um antivírus na memória, ele não
ficará na atividade. Interferirá em comandos como
Dir e o Chkdsk do DOS apresentando
os tamanhos originais dos arquivos infectados,
fazendo com que tudo pareça normal. Também efetuam
a desinfecção de arquivos no momento em que eles
forem executados, caso haja um antivírus em ação;
com esta atitude não haverá detecção e consequente
alarme.
|
|
Vírus Encripitados
|
|
Um dos mais recentes vírus. Os encripitados são
vírus que, por estarem codificados dificultam a
ação de qualquer antivírus. Felizmente, esses
arquivos não são fáceis de criar e nem muito
populares.
|
|
Vírus mutantes ou polimórficos
|
|
Têm a capacidade de gerar réplicas de si mesmo
utilizando-se de chaves de encripitação diversas,
fazendo que as cópias finais possuam formas
diferentes. A polimorfia visa dificultar a
detecção de utilitários antivírus, já que as
cópias não podem ser detectadas a partir de uma
única referência do vírus. Tal referência
normalmente é um pedaço do código virótico, que no
caso dos vírus polimórficos varia de cópia para
cópia. |
| |
Muitas das informações aqui disponíveis, são
baseadas em diversas fontes.
Erros, atrasos ou inexatidões, são passíveis de
acontecerem, independentemente da nossa vontade.
Solicitamos não utilizar possíveis falhas, como
base para reclamações.
Ajude-nos, informando onde precisamos corrigir.
|
|
 |
|
