skip to main | skip to sidebar
domingo, 9 de novembro de 2008

Vírus Macro BOOT EXE COM BMP PCX GIF JPG AVI MOV

Publicada por CAOS CASLAS SECURITY

O que é um Vírus?

Um Vírus é um programa, com uma série de instruções "maldosas" para o seu computador executar. Em geral, ficam escondidos dentro da série de comandos de um programa maior. Mas eles não surgem do nada!

Os vírus ocultam-se em ficheiros executáveis, ou seja, em programascom as extensões .EXE ou .COM, ou de bibliotecas partilhadas, de extensão .DLL .

Quanto a ficheiros de dados, você pode abri-los sem medo! Assim, pode abrir tranquilamente os seus ficheiros de som (.WAV, .MID), imagem
(.BMP, .PCX, .GIF, .JPG), vídeo (.AVI, .MOV) e os de texto que não contenham macros (.TXT, .WRI).
Para que o vírus faça alguma coisa, não basta você tê-lo no seu
computador. Para que ele seja activado, passando a infectar o PC, é
preciso executar o programa que o contém. E isto você só faz se quiser,
mesmo que não seja de propósito. Ou seja, o vírus só é activado se você
der a ordem para que o programa seja aberto, por ignorar o que ele traz de
mal... Se eles não forem "abertos", ou seja, "executados", o vírus simplesmente
fica inactivo, alojado, aguardando ser executado para infectar o
computador.
Após infectar o computador, eles passam a atacar outros ficheiros. Se um destes ficheiros infectados for transferido para outro computador, este também vai passar a ter um vírus alojado, esperando o momento para infectá-lo, ou seja, quando for também executado. Daí o nome de vírus, pela sua capacidade de auto-replicação, parecida com a de um ser vivo.


Como é que os Vírus trabalham?
Vírus de disco
Os vírus de disco infectam o BOOT-SECTOR. Esta é a parte do disco
responsável pela manutenção dos ficheiros. Da mesma forma que uma
biblioteca precisa de um índice para saber onde se encontram os livros,
um disco precisa ter uma tabela com o endereço dos dados armazenados.
Qualquer operação de entrada e saída (carregamento ou gravação de um
ficheiro, por exemplo), precisaria do uso dessa tabela. Gravar ou carregar
um ficheiro numa disquete infectada possibilitaria a activação do vírus, que
poderia infectar outras disquetes e o disco rígido.

Vírus de Ficheiro
Este infectam ficheiros executáveis ou de extensão .SYS, .OVL, .MNU, etc.
Estes vírus copiam-se para o início ou fim do ficheiro. Dessa forma, ao
chamar o programa X, o vírus activa-se, executa ou não outras tarefas e
depois activa o verdadeiro programa.
Vírus Multi-partite
Infectam tanto a disquete quanto os ficheiros executáveis. São
extremamente sofisticados.
Vírus Tipo DIR-II
Alteram a tabela de ficheiros de forma a serem chamados antes do ficheiro
programa. Nem são propriamente FILE-INFECTORS nem são realmente
BOOT-INFECTORS e muito menos multi-partites.

Outras características e um pouco de história:


Porque é que os Vírus são escritos?
O chamado vírus de computador é um software que capta a atenção e
estimula a curiosidade. Esta pergunta foi feita na convenção de Hackers e
fabricantes de vírus na Argentina. A primeira resposta foi:
- Because it's fun (por diversão, entretenimento).
- Para estudar as possibilidades relativas ao estudo de vida artificial (de
acordo com a frase de Stephen Hawkind "Os vírus de computador são
a primeira forma de vida feita pelo homem"). Esta proposta é seguida
por vários cientistas, incluindo um que pôs à disposição um vírus seu
(inofensivo) para aqueles que estivessem interessados. Existe uma
revista electrónica dedicada a isto, chamada Artificial Life e vários livros
sobre o assunto.
- Para descobrir se são capazes de fazer isso ou para mostrarem para
os colegas do que são capazes de fazer com um computador. Para
testar os seus conhecimentos de computação.
- Por frustração ou desejo de vingança. Muitos autores de vírus são
adolescentes.
- Curiosidade. Algo muito forte, mesmo para aqueles que têm poucos
conhecimentos de informática. Uma das melhores formas de se
aprender sobre vírus é "criando" um.
- Para punir aqueles que copiam programas de computador sem pagar
direitos de autor.
- Para conseguir fama.
- Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o
uso de uma outra arma de "atrapalhamento" do sistema de computadores
do inimigo. Ainda assim, os vírus para uso militar são uma possibilidade.


O que é um Vírus de Macro?
Recentemente, vem-se espalhando uma nova espécie de vírus, que hoje já corresponde a mais de 50% do total das infecções. São os famosos "vírus de macro".

Uma Macro é uma série de rotinas personalizadas para serem feitas
automaticamente no Word, ou no Excel, ou qualquer outro programa que
suporte VBA (Visual Basic for Applications), a linguagem usada nas
macros. Os vírus de macro mais comuns são os do Word, por ser o
programa mais difundido.
Você pode criar uma macro pra acrescentar um cabeçalho automaticamente
assim que clica num botão da barra de ferramentas, ou para abrir o
Painel de Controlo apenas com uma combinação de teclas, ou ainda para
retirar todas as cedilhas, acentos, etc. de um texto. A macro é quase um
programa, interno a outro programa.
O vírus de macro é um vírus feito na linguagem das macros, para funcionar
dentro do programa ao qual está ligado. Ao abrir um documento de Word
(.DOC) infectado com um vírus de macro, o vírus é activado, gravando
sobre o ficheiro NORMAL.DOT (modelo geral dos ficheiros do Word) e
criando macros que substituem boa parte dos comandos normais do Word.
A partir daí, quando você estiver a usar o Word vai começar a verificar os
sintomas mais diversos, dependendo do vírus que tiver apanhado. Se
verificar algum dos abaixo referidos, provavelmente o seu computador já
estará infectado:
- quando tenta guardar um ficheiro, ele guarda com a extensão .DOT em
vez de .DOC;
- todos os ficheiros do Word são gravados assim que você o fecha, como
Doc1.doc, ou Doc2.doc, e assim por diante, sem sequer perguntar se quer
guardá-los ou não;
- uma mensagenzinha fica a correr pelo rodapé da janela do Word;
- aparecem palavras sem que você as digite e imediatamente desaparecem;
- a impressora pára sem explicação;


- o computador fica a "trabalhar" (ampulheta) sem que você peça para ele
fazer algo;
- retira dos menus todas as menções a macro, de forma que você fica
impedido de manipular as macros para retirar o vírus;
- todas as macros personalizadas que você tenha criado antes são
perdidas.
Uma vez infectado o ficheiro NORMAL.DOT, todos os outros ficheiros que
forem abertos no Word a partir de então serão infectados. Se você enviar
um ficheiro infectado para alguém, por disquete ou e-mail, ele pode infectar
o computador do destinatário, se ele o receber e o abrir no Word, e o ciclo
recomeça.
Os vírus de macro não estão escondidos na forma de um ficheiro
executável (.EXE, .COM, .DLL), mas em inocentes documentos do Word
(.DOC) ou numa folha do Excel (.XLS). Trata-se de uma verdadeira
revolução dos vírus. E aí está a causa da facilidade com que eles se
propagam.
As macros transformaram-se em verdadeiras armas postas à disposição
de quem quer fazer um vírus. Ninguém imagina que um texto que a
namorada escreveu ou uma folha de cálculo que um colega de trabalho
mandou possa estar infectado. E a pessoa que lhe enviou o ficheiro com o
vírus pode nem saber (e geralmente não sabe) da infecção...
Ainda assim é bom frisar: mesmo os vírus de macro só infectam o seu
computador se você abrir o ficheiro que o contém. Não basta receber o
ficheiro infectado, seja por que meio for - é necessário abri-lo para que o
vírus seja activado.
Como criar um Vírus de Macro?
Enquanto que criadores de vírus concentraram-se em código que
funcionasse ao nível de sistema operativo, eles, no entanto, negligenciaram
as aplicações. Muitas aplicações de negócios, tais como folhas de
cálculo, processadores de texto e bases de dados vêm com poderosas
linguagens de macro. Muitas aplicações têm a habilidade de auto-executar
macros. Essa combinação fornece um sério perigo para utilizadores de
computadores que pensavam que ficheiros de dados não criavam
problemas ao seu sistema. Quando nos refererimos a um vírus de macro
utilizaremos a sua sigla DMV (document macro vírus) para descrever esse
tipo de código. Algumas características de um DMV incluem:
- Um DMV é escrito na linguagem macro de uma aplicação. Ele explora a
habilidade da aplicação para automaticamente executar a macro em algum
evento, tal como a abertura ou fecho de um documento. Uma vez que esse
evento ocorre num documento que possui o DMV, o vírus espalha-se (ou
algum tipo de cavalo de tróia é executado). A menos que um vírus
convencional ou cavalo de tróia esteja no código executável, o DMV usa a
sua aplicação criadora como agente para executar o código.
- Os DMVs são extremamente simples de criar. Muitas linguagens macros
são uma modificação do BASIC, o qual é muito mais fácil de programar do
que em linguagem Assembly preferida por muitos escritores de vírus.
Como muito macros suportam a capacidade de chamar rotinas externas
(tal como funções em ficheiros .DLL), a linguagem de macro pode
facilmente se estender para criar vírus sofisticados.
- De uma forma simplificada, os DMVs tendem a ser feitos para uma
aplicação somente da sua natureza. Isso significa que o vírus apenas
infecta documentos com o mesmo tipo de dado, por exemplo, todos os
documentos para o Microsoft Word for Windows. Muitas linguagens de
macro não são compatíveis na passagem de uma aplicação para outra
(por exemplo, um documento Word DMV que foi importado pelo Ami Pro,
pode não passar o vírus). Uma excepção pode ser a linguagem Microsoft's
Common Macro, Visual Basic for Applications. É um DMV avançado que
pode ser escrito com VBA que se pode mover de uma aplicação para
outra.
- Uma vez que um DMV é específico para cada aplicação, é teoricamente
possível que um documento possa passar de uma plataforma para outra
(i.e., sistemas baseados em Intel com Windows, para Motorola/Power PC
em sistemas Macintosh). Isso faz com que os DMVs sejam diferentes dos
vírus normais, que tendem a ser específicos para uma dada plataforma
devido à natureza da sua codificação.
- Obviamente, existe uma numerosa quantidade de riscos de segurança e
privacidade que o utilizador corre quando sem saber usa um documento
que possui um DMV. Esses são limitados apenas pela imaginação da
pessoa que criou o DMV. Algumas acções maliciosas que são relativamente
fáceis de implementar incluem:
1. Infectar o seu computador com um vírus (obviamente).
2. Apagar ficheiros de seu disco rígido.
3. Renomear ficheiros existentes.

4. Copiar ficheiros pessoais do seu disco rígido para um local da rede
onde eles podem ser recuperados mais tarde por outra pessoa.
5. Enviar ficheiros sensíveis do seu disco rígido para um endereço de email
via MAPI (Windows).
É importante notar que esses riscos não são exclusivos do Word for
Windows. Qualquer aplicação que suporta macros automáticos é um
perigo potencial.
Tipos de Vírus de Macro
O Word possui um ficheiro chamado "normal.dot" onde estão todas as
configurações por defeito do Word. Se por algum motivo este ficheiro for
eliminado, o Word cria automaticamente outro quando for inicializado.
Níveis de vírus de macro:
Nível 1 - Apenas uma brincadeira;
Nível 2 - Apenas uma brincadeira de mau gosto;
Nível 3 - Não é apenas uma brincadeira.
Primeiro você precisa criar uma macro. Siga os seguintes passos:
Entre no Word, feche a janela do documento, não deixe nenhum documento
aberto (activo), clique em Ficheiro (File) e depois Macro, coloque no
nome da macro "AutoExec" (obrigatório). Esta macro será inicializada
todas as vezes que o Word for iniciado. Depois clique em 'Criar', elimine as
duas linhas que tiver lá (Sub MAIN e End Sub) e copie a rotina que tem
abaixo.
ps: existem outras formas/meios para criar uma macro, mas esta é mais
simples.

0 comentários:

Enviar um comentário