Vírus de Arquivos
Esse tipo de vírus agrega-se a arquivos executáveis (normalmente extensão COM e EXE), embora possam também infectar arquivos que sejam requisitados para a execução de algum programa, como os arquivos de extensão SYS, DLL, PRG, OVL, BIN, DRV (esta última é a extensão dos arquivos que controlam o funcionamento do mouse, do CD-ROM, da impressora, do scanner ...).
Arquivo de extensão SCR, que é a extensão dos screen saver (protetores de tela), também podem ser infectado, pois este arquivos são, na verdade, executáveis comuns, salvos com outra extensão. Isto é feito para que o Windows possa reconhecer automaticamente esse tipo de arquivo.
Neste tipo de virose, programas limpos normalmente se infectam quando são executados com o vírus na memória em um computador corrompido.
Os vírus de arquivos dividem-se em duas classes, os de Ação Direta e os Residentes.
Vírus de Ação Direta
Essa classe de vírus seleciona um ou mais programas para infectar cada vez que o programa que o contém é executado. Ou seja, toda vez que o arquivo infectado for executado, novos programas são contaminados, mesmo não sendo usados.
Como isto acontece?
Uma vez contaminado um arquivo, o programa (vírus) faz uma procura no winchester por arquivos executáveis. Cada arquivo encontrado é colocado em uma lista, após, na nova execução do arquivo contaminado, o vírus seleciona aleatoriamente um ou mais arquivos, e esses também serão contaminados.
Vírus Residentes
Essa classe esconde-se em algum lugar na memória na primeira vez que um programa infectado é executado. Da memória do computador, passa a infectar os demais programas que forem executados, ampliando progressivamente as frentes de contaminação.
Um vírus também pode ser ativado a partir de eventos ou condições pré determinadas pelo criador, como data (como o Sexta-feira 13, por exemplo), número de vezes que um programa é rodado, um comando específico, etc.
Vírus de Sistema ou Vírus de Boot
Infectam códigos executáveis localizados nas áreas de sistema do disco. Todo drive físico, seja disco rígido, disquete ou cd-rom, contém um setor de boot. Esse setor de boot contém informações relacionadas à formatação do disco, dos diretórios e dos arquivos armazenados nele.
Além disso pode conter um pequeno programa chamado de programa de boot (responsável pela inicialização do sistema), que executa a "carga" dos arquivos do sistema operacional (o DOS, por exemplo). Contudo, como todos os discos possuem área de boot, o vírus pode esconder-se em qualquer disco ou disquete, mesmo que ele não seja de inicialização ou de sistema (de boot).
Um comportamento comum entre os vírus de boot que empregam técnicas mais avançadas invisibilidade é exibir os arquivos de boot originais sempre que for feita uma solicitação de leitura do sector 1 da track 0. Enquanto o vírus estiver residente na memória, ele redireciona todas as solicitações de leitura desse setor para o local onde o conteúdo original está armazenado. Essa técnica engana as versões mais antigas de alguns antivírus. Alguns vírus, ainda mais avançados, chegam a marcar o setor onde o os arquivos de boot originais foram colocado, como sendo um setor ilegível, para que os usuários não possam descobrir o setor de boot em um lugar considerado incomum.
Uma explicação técnica:
O primeiro setor físico (track 0, sector 1, head 0) de qualquer disco rígido de um PC, contém o Registro de Partida e a Tabela de Alocação de Arquivos (FAT). Os vírus de MBR (Master Boot Record) atacam esta região dos discos rígidos e se disseminam pelo setor de boot do disco. Quando a FAT é corrompida, por exemplo, você perde o acesso à diretórios e arquivos, não porque eles em foram atacados, mas porque o seu computador não consegue mais acessá-los.
Observações:
§ Track ou Trilha: uma série de anéis concêntricos finos em um disco magnético, que a cabeça de leitura / gravação acessa e ao longo da qual os dados são armazenados em setores separados.
§ Sector ou Setor: menor área em um disco magnético que pode ser endereçada por um computador. Um disco é dividido em trilhas, que por sua vez são divididos em setores que podem armazenar um certo número de bits.
§ Head ou Cabeça: transdutor que pode ler ou gravar dados da e na superfície de um meio magnético de armazenamento, como um disquete ou um winchester.
Vírus Múltiplos
São aqueles que visam tanto os arquivos de programas comuns como os setores de Boot do DOS e / ou MBR. Ou seja, correspondem a combinação dos dois tipos descritos acima. Tais vírus são relativamente raros, mas o número de casos aumenta constantemente. Esse tipo de vírus é extremamente poderoso, pois pode agir tanto no setor de boot infectando arquivos assim que eles forem usados, como pode agir como um vírus de ação direta, infectando arquivos sem que eles sejam executados.
Vírus de Macro
É a categoria de vírus mais recente, ocorreu pela primeira vez em 1995, quando aconteceu o ataque do vírus CONCEPT, que se esconde em macros do processador de textos MicroSoft WORD.
Esse tipo de vírus se dissemina e age de forma diferente das citadas acima, sua dissiminação foi rápida especialmente em função da popularidade do editor de textos Word (embora também encontramos o vírus na planilha eletrônica Excel, da própria MicroSoft).
Eles contaminam planilhas e documentos (extensões XLS e DOC). São feitos com a própria
linguagem de programação do Word. Entretanto a tendência é de que eles sejam cada vez mais eficazes, devido ao fato da possibilidade do uso da linguagem Visual Basic, da própria Microsoft, para programar macros do Word.
O vírus macro é adquirido quando se abre um arquivo contaminado. Ele se autocopia para o modelo global do aplicativo, e, a partir daí, se propaga para todos os documentos que forem abertos. Outra capacidade inédita deste tipo de vírus é a sua disseminação multiplataforma, infectando mais de um tipo de sistema (Windows e Mac, por exemplo).
Vírus Stealth ou Furtivo
Por volta de 1990 surgiu o primeiro vírus furtivo(ou stealth, inspirado no caça Stealth, invisível a radares). Esse tipo de vírus utiliza técnicas de dissimulação para que sua presença não seja detectada nem pelos antivírus nem pelos usuários. Por exemplo se o vírus detectar a presença de um antivírus na memória, ele não ficará na atividade. Interferirá em comandos como Dir e o Chkdsk do DOS, apresentando os tamanhos originais dos arquivos infectados, fazendo com que tudo pareça normal. Também efetuam a desinfecção de arquivos no momento em que eles forem executados, caso haja um antivírus em ação; com esta atitude não haverá detecção e consequente alarme.
Vírus Encripitados
Um dos mais recentes vírus. Os encripitados são vírus que, por estarem codificados dificultam a ação de qualquer antivírus. Felizmente, esses arquivos não são fáceis de criar e nem muito populares.
Vírus mutantes ou polimórficos
Têm a capacidade de gerar réplicas de si mesmo utilizando-se de chaves de encripitação diversas, fazendo que as cópias finais possuam formas diferentes. A polimorfia visa dificultar a detecção de utilitários antivírus, já que as cópias não podem ser detectadas a partir de uma única referência do vírus. Tal referência normalmente é um pedaço do código virótico, que no caso dos vírus polimórficos varia de cópia para cópia.
0 comentários:
Postar um comentário