Vírus de computador fáceis

 

1 Definição – O que é o código malicioso?

Código malicioso refere-se a qualquer instrução ou conjunto de instruções que executam uma função suspeita sem o consentimento do usuário.

2 Definição – O que é um vírus de computador?

Um vírus de computador é uma forma de código malicioso. É um conjunto de instruções (ou seja, um programa) que é auto-replicante e infeccioso, imitando assim um vírus biológico.

3 vírus do programa e vírus do setor de inicialização

Os vírus podem primeiro ser classificados em termos do que eles infectam. Os vírus que infectam os programas do usuário, como jogos, processadores de texto (Word), planilhas (Excel) e DBMS (Access), são conhecidos como vírus de programa. Os vírus que infectam setores de inicialização (explicados posteriormente) e / ou os Registros de inicialização mestre (explicados posteriormente) são conhecidos como infectadores do setor de inicialização. Alguns vírus pertencem a ambos os grupos. Todos os vírus têm três funções: Reproduzir, Infectar e Entregar Carga Útil. Vamos ver primeiro os vírus do programa.

3.1 Como funciona um vírus de programa?

Um vírus de programa deve se ligar a outros programas para existir. Essa é a principal característica que distingue um vírus de outras formas de código malicioso: ele não pode existir sozinho; é parasita em outro programa. O programa que um vírus invade é conhecido como o programa host. Quando um programa infectado por vírus é executado, o vírus também é executado. O vírus agora executa suas duas primeiras funções simultaneamente: Reproduce e Infect.

Depois que um programa infectado é executado, o vírus assume o controle do host e começa a procurar outros programas no mesmo ou em outros discos atualmente não infectados. Quando encontra um, copia-se no programa não infectado. Depois, pode começar a procurar mais programas para infectar. Após a conclusão da infecção, o controle é retornado ao programa host. Quando o programa host é finalizado, ele e possivelmente o vírus também são removidos da memória. O usuário provavelmente ficará completamente inconsciente do que acabou de acontecer.

Uma variação desse método de infecção envolve deixar o vírus na memória mesmo depois de o host ter terminado. O vírus ficará na memória até o computador ser desligado. A partir desta posição, o vírus pode infectar programas para o conteúdo do seu coração. Na próxima vez que o usuário inicializar seu computador, ele poderá executar inadvertidamente um de seus aplicativos infectados.

Assim que o vírus estiver na memória, há o risco de que a terceira função do vírus seja invocada: Deliver Payload. Essa atividade pode ser qualquer coisa que o criador do vírus queira, como excluir arquivos ou tornar o computador mais lento. O vírus pode permanecer na memória, entregando sua carga, até que o computador seja desligado. Ele pode modificar arquivos de dados, danificar ou deletar arquivos de dados e programas, etc. Ele pode esperar pacientemente por você criar arquivos de dados com um processador de texto, planilha, banco de dados, etc. Então, quando você sair do programa, o vírus pode modificar ou exclua os novos arquivos de dados.

3.1.1 Processo de Infecção

Um vírus de programa geralmente infecta outros programas colocando uma cópia de si mesmo no final do destino pretendido (o programa host). Em seguida, ele modifica as primeiras instruções do programa host para que, quando o host for executado, o controle passe para o vírus. Depois, o controle retorna ao programa host. Fazer um programa somente leitura é uma proteção ineficaz contra um vírus. Os vírus podem obter acesso a arquivos somente leitura simplesmente desativando o atributo somente leitura. Após a infecção, o atributo somente leitura seria restaurado. Abaixo, você pode ver a operação de um programa antes e depois de ele ter sido infectado.

Antes da infecção

<br> 1. Instrução 1

<br> 2. Instrução 2

3. Instrução 3

4. Instrução n

<br> Fim do programa

Depois da infecção

<br> 1. Ir para a instrução de vírus 1

<br> 2. Programa host

3. Instrução do Anfitrião 1

4. Instrução do anfitrião 2

5. Instrução do Host 3

6. Instrução de Anfitrião n

7. Fim do programa host

8. Programa de Vírus

9. Instrução de vírus 1

<br> 10. Instrução de vírus 2

<br> 11. Instrução de vírus 3

<br> 12. Instrução de vírus n

<br> 13. Ir para a instrução de host 1

<br> 14. Fim do programa de vírus

3.2 Como funciona um Infector de setor de inicialização?

Nos discos rígidos, a faixa 0, setor 1, é conhecida como o Registro mestre de inicialização. O MBR contém um programa, bem como dados que descrevem o disco rígido em uso. Um disco rígido pode ser dividido em uma ou mais partições. O primeiro setor da partição que contém o sistema operacional é o setor de inicialização.

Um infectador do setor de inicialização é um pouco mais avançado do que um vírus de programa, pois invade uma área do disco que normalmente está fora dos limites do usuário. Para entender como funciona um infector de setor de inicialização (BSI), é preciso primeiro entender algo chamado de procedimento de inicialização. Esta seqüência de etapas começa quando o botão liga / desliga é pressionado, ativando a fonte de alimentação. A fonte de alimentação inicia a CPU, que por sua vez executa um programa ROM conhecido como BIOS. O BIOS testa os componentes do sistema e, em seguida, executa o MBR. O MBR então localiza e executa o setor de inicialização que carrega o sistema operacional. O BIOS não verifica para ver o que o programa está na faixa 0, setor 1; simplesmente vai lá e executa.

Para impedir que o diagrama a seguir se torne muito grande, o setor de inicialização se referirá ao setor de inicialização e ao MBR. Um infectador do setor de inicialização move o conteúdo do setor de inicialização para um novo local no disco. Em seguida, ele se coloca no local do disco original. Na próxima vez que o computador for inicializado, o BIOS irá para o setor de inicialização e executará o vírus. O vírus está agora na memória e pode permanecer lá até o computador ser desligado. A primeira coisa que o vírus fará é executar, em seu novo local, o programa que costumava estar no setor de inicialização. Este programa carregará o sistema operacional e tudo continuará normalmente, exceto que agora há um vírus na memória. O procedimento de inicialização, antes e depois da infecção viral, pode ser visto abaixo.

Antes da infecção

<br> 1. Pressione o interruptor de poder

<br> 2. Fonte de alimentação inicia a CPU

3. CPU executa BIOS

4. Componentes de testes do BIOS

5. BIOS executa setor de boot

6. O setor de inicialização carrega o sistema operacional

Depois da infecção

<br> 1. Pressione o interruptor de poder

<br> 2. Fonte de alimentação inicia a CPU

3. CPU executa BIOS

4. Componentes de testes do BIOS

5. BIOS executa setor de boot

6. BSI executa programa de setor de inicialização original em novo local

7. O programa original do setor de inicialização carrega o SO (o BSI permanece na memória quando o processo de inicialização é concluído)

BSI = Infector do setor de inicialização

4 Vírus Stealth

Outra maneira de classificar os vírus lida com a maneira como eles se escondem dentro de seu host e aplica-se aos vírus do setor de inicialização e de programas. Um vírus regular infecta um programa ou setor de inicialização e, em seguida, apenas fica lá. Um tipo especial de vírus conhecido como vírus furtivo, criptografa a si mesmo quando está oculto dentro de outro programa ou setor de inicialização. No entanto, um vírus criptografado não é executável. Portanto, o vírus deixa uma pequena tag saindo, que nunca é criptografada. Quando o programa host ou o setor de inicialização é executado, a tag assume o controle e decodifica o restante do vírus. O vírus totalmente decodificado pode então executar suas funções Infect e Reproduce ou sua função Deliver Payload dependendo da maneira como o vírus foi gravado.

Uma forma avançada de um vírus furtivo é um vírus stealth polimórfico, que emprega um algoritmo de criptografia diferente a cada vez. A tag, no entanto, nunca deve ser criptografada de nenhuma maneira. Caso contrário, não será executável nem poderá decodificar o restante do vírus.

5 Bomba Lógica

Os vírus geralmente são programados para aguardar até que uma determinada condição seja atendida antes de entregar sua carga útil. Tais condições incluem: depois que ele se reproduziu um certo número de vezes, quando o disco rígido está 75% cheio, etc. Esses vírus são conhecidos como bombas lógicas porque esperam até que uma condição lógica seja verdadeira antes de entregar a carga útil.

5.1 Bomba Temporal

O termo bomba-relógio é usado para se referir a um vírus que aguarda até uma determinada data e / ou hora antes de entregar sua carga útil. Por exemplo, alguns vírus disparam na sexta-feira 13 de abril, 1º de abril ou 31 de outubro. O vírus Michelangelo teve 6 de março como data de disparo. Esperar até uma data e / ou hora específica antes de entregar a carga significa que uma bomba-relógio é um tipo específico de bomba lógica (discutido anteriormente) porque esperar por uma data / hora significa que o vírus está esperando que uma condição lógica seja verdadeira. Há sobreposição considerável nessas áreas de descrição de vírus. Por exemplo, um vírus em particular pode ser um vírus de programa e um vírus furtivo polimórfico. Outro vírus pode ser um infectador do setor de inicialização, um vírus invisível e uma bomba-relógio. Cada termo se refere a um aspecto diferente do vírus.

II Mais sobre o código malicioso

1 cavalo de tróia

Um cavalo de tróia é um programa independente e uma forma de código malicioso. Não é um vírus, mas um programa que se pensa que faria uma coisa, mas na verdade faz outra coisa. O usuário é induzido em erro pelo nome do programa, que induz os usuários desavisados a executá-lo e, uma vez executado, um código mal-intencionado é invocado. O código malicioso pode ser um vírus, mas não precisa ser. Pode ser simplesmente algumas instruções que não são nem infecciosas nem autorreplicantes, mas fornecem algum tipo de carga útil. Um cavalo de tróia dos dias do DOS era SEX.EXE, que foi intencionalmente infectado por um vírus. Se você encontrou um programa com este nome no seu disco rígido, você o executaria? Quando o programa foi carregado, algumas imagens interessantes apareceram na tela para distraí-lo. Enquanto isso, o vírus incluído estava infectando seu disco rígido. Algum tempo depois, a terceira função do vírus misturou o FAT (File Allocation Table) do seu disco rígido, o que significa que você não pode acessar nenhum dos seus programas, arquivos de dados, documentos, etc.

Um cavalo de tróia pode encontrar seu caminho em seu disco rígido de diferentes maneiras. O mais comum envolve a Internet.

  • Poderia baixar sem sua permissão enquanto você está baixando outra coisa.
  • – Pode baixar automaticamente quando você visita determinados sites.
  • – Pode ser um anexo em um email.
  • Como dito anteriormente, o nome do arquivo de um cavalo de tróia induz os usuários desavisados a executá-lo. Se um cavalo de Tróia for um anexo em um e-mail, a linha de assunto do e-mail também poderá ser gravada para motivar o usuário a executá-lo. Por exemplo, a linha de assunto poderia ser “Você ganhou 5 milhões de dólares!” e o nome do arquivo do anexo poderia ser “million dollar winner.exe”.
  • 2 vermes
  • Um worm não é um vírus. Pelo contrário, é uma forma de código malicioso que reproduz e entrega uma carga útil, mas não é infeccioso. É um programa independente que existe por si só, como um cavalo de tróia ou qualquer programa regular. Os vírus não podem existir por conta própria. Os worms não infectam os programas, mas eles se reproduzem, e geralmente são transmitidos usando a técnica do cavalo de tróia.
  • 3 Entregue a Carga Útil – O que o código mal-intencionado pode fazer?
  • – Exibir uma mensagem ou gráfico na tela, como um número de caranguejos que lentamente rastejam por aí devorando e destruindo tudo o que encontram. Este vírus muito antigo foi chamado Crabs.
  • – Fazer uma demanda para que o usuário execute uma determinada função, como pressionar uma determinada seqüência de teclas antes de permitir que a operação normal seja retomada. Um exemplo disso é o vírus Cookie Monster, no qual o Cookie Monster apareceria em sua tela e exigiria um cookie antes que ele devolvesse o controle do seu computador para você. Você teria que responder digitando cookie. Vários minutos depois, ele reapareceria e exigiria outro biscoito.
  • – Fazer com que o computador e / ou o mouse travem e fiquem inoperantes até que o sistema seja reinicializado.
  • – Redefinindo o teclado (pressione rek aparece, etc.).
  • – Fazendo com que o computador opere em uma fração de sua velocidade normal.
  • – Apagar um ou mais arquivos do computador.
  • – Alterar ou corromper o conteúdo dos arquivos de dados (de forma sutil ou de outra forma), muitas vezes de maneira quase indetectável para o usuário até uma data muito posterior. Por exemplo, um código mal-intencionado poderia mover um ponto decimal em um arquivo de orçamento de planilha ou alterar a primeira palavra de cada parágrafo em um arquivo de processador de texto para “gotcha!”
  • III Manutenção Preventiva
  • A melhor maneira de evitar ser vítima de um ataque de vírus é impedir que seu sistema contraia um vírus. Tomando medidas simples e cautelares, você pode reduzir as chances de seu sistema ser infectado.
  • – Instale um software antivírus. Eu recomendo Avast Free Antivirus. É uma proteção gratuita e abrangente e funciona bem.
  • – Apenas visite sites nos quais você confia
  • – Faça backups de seus dados

Add a Comment

Your email address will not be published. Required fields are marked *