Sítio do Piropo

B. Piropo

< Jornal Estado de Minas >
Volte
09/09/2004

< Anatomia dos vírus >


Exatamente em que consiste um vírus? Quais seus componentes? Como ele é contraído? Como se dissemina? Que medidas devem ser tomadas ao se constatar sua presença? São perguntas elementares. Não obstante, por desconhecer suas respostas, a cada dia centenas de milhares de pessoas em todo o mundo têm suas máquinas contaminadas com essas pragas que geram prejuízos de milhões de dólares tanto a usuários comuns quanto a empresas.
Pensando nisso, o TechRepublic (em <http://techrepublic.com.com/>), um excelente sítio voltado para a comunidade da tecnologia da informação, resolveu criar e distribuir um documento para orientar os usuários, particularmente os menos experientes, sobre tais questões. O arquivo pode ser encontrado em <http://techrepublic.com.com/5138-6288-5326715.html?tag=e101>, de onde pode ser transferido (“baixado”) para as máquinas dos membros da TechRepublic. Mas se você não é membro, não se preocupe: a adesão é gratuita e lhe será oferecida assim que você tentar transferir o arquivo. Sugiro aceitá-la. Serão solicitados alguns dados, como endereço de correio eletrônico e informações sobre sua ligação com o mundo da TI, tudo muito singelo, respeitando sua privacidade, e daí em diante você será um membro TechRepublic com direito, entre outras coisas, a receber por correio eletrônico um informativo bastante interessante e atualizado. Recomendo.
O arquivo “The Anatomy of a Virus” vem em formato Pdf que, portanto, exige o Adobe Reader instalado na máquina. Adobe Reader (antigo Acrobat Reader) é um utilitário que permite abrir, ler e fazer gracinhas diversas com arquivos Pdf, como transferi-los para micros de mão da linha Palm, mas não permite editá-los. Como o formato PDF está se tornando cada vez mais popular, inclusive em páginas da Internet, é provável que o Adobe Reader já esteja aboletado em seu micro. Se não estiver, a versão 6, em português, pode ser obtida também gratuitamente em <www.brasil.adobe.com/main.html>. Basta chegar até lá e clicar no botão “Get Acrobat Reader” e seguir as instruções exibidas nas telas que se sucederão.
Isto posto, voltemos aos vírus. O documento da TechRepublic vem em formato de pôster de uma única página, portanto é extremamente sucinto. Então aproveitemos para, ao comentá-lo, acrescentar alguns detalhes que me pareceram relevantes.
De acordo com a TechRepublic, vírus são programas que atacam um micro ou uma rede, tipicamente com fins mal intencionados que vão desde prejudicar o desempenho do computador ou roubar dados até usar sua máquina para atacar outras. Consiste de três componentes: o primeiro visa sua reprodução e a ocultação de sua presença. O segundo (“payload”) tem por objetivo provocar danos no sistema infectado. E o terceiro é formado por código acessório, como sistemas autônomos de envio de mensagens de correio eletrônico (para disseminar o vírus automaticamente) e de criptografia (para dificultar a identificação do vírus e análise de seus objetivos).
Ainda segundo o documento da TechRepublic, os vírus usam diversos artifícios para se disseminar. O mais comum é a exploração de falhas de segurança em aplicativos e sistemas operacionais (bons exemplos são os vírus de macro, que podem contaminar documentos do pacote Office, e as variantes que exploram as vulnerabilidades do navegador Internet Explorer e das diversas versões do sistema operacional Windows; não é por outra razão que a MS acaba de lançar um monstruoso conjunto de aperfeiçoamentos e atualizações dos dispositivos de segurança do Windows XP, o “Service Pack 2”, ou SP2).
Além disso, vírus podem explorar falhas em protocolos de transmissão de dados (mesmo naqueles considerados “seguros”, como o protocolo SSL de “Secure Sockets Layer”, especialmente concebido para propiciar transações seguras via Internet através de criptografia), explorar vulnerabilidades do TCP/IP (protocolo que padroniza as transmissões pela Internet fracionando, na origem, os dados a serem transmitidos em “pacotes” que trafegam por diferentes rotas, e os “monta” novamente no destino, reconstituindo os dados originais), aproveitar-se de vulnerabilidades encontradas em sistemas conectados à Internet nos quais ainda não foram instalados os “remendos” (“patches”) correspondentes (o que enfatiza a importância de manter a máquina escrupulosamente em dia no que toca às atualizações de segurança) e, um ponto especialmente curioso, explorando a “compreensão do comportamento humano”.
Este ponto merece um comentário à parte. Afinal, como pode um vírus se aproveitar do conhecimento do nosso comportamento? Simples: apresentando-se como algo absolutamente confiável ou apelando para a falibilidade da natureza humana. Por exemplo: uma mensagem de seu banco informando alguma irregularidade em sua conta. Ou da Receita Federal solicitando confirmação de seus dados cadastrais. Ou ainda do Serasa, informando que seu nome foi incluído no cadastro de inadimplentes como resultado da falta de pagamento de alguma compra que você não efetuou. Nenhuma delas, naturalmente, provém da respeitabilíssima fonte alegada, mas sim de um biltre qualquer que, em vez dos dados mencionados, está lhe enviando um vírus. Esta técnica de disseminação denomina-se “engenharia social” e vem sendo cada vez mais utilizada pelos autores de vírus. Ela inclui explorar as fraquezas do destinatário. Talvez o melhor exemplo seja a mensagem, cada vez mais comum, que circula na rede com o texto “Você está sendo traído, não tive coragem de te falar mas como imagens falam mais que palavras faça o download das fotos e veja com seus próprios olhos”. Evidentemente, ao clicar no atalho fornecido pela mensagem, em vez das fotos comprometedoras da cara-metade o incauto será contemplado com um vírus.
E como se contraem vírus? Segundo a TechRepublic, abrindo arquivos anexados a mensagens de correio eletrônico ou programas de “chat”, exibindo o conteúdo de mensagens no formato HTML (que podem conter “scripts” ou “controles ActiveX” que executam ações mal intencionadas), transferindo-os fisicamente de máquina para máquina através de disquetes ou CDs contaminados, instalando programas contaminados, inclusive programas comerciais, shareware ou freeware e visitando certos sítios da Internet que contém código malicioso que é transferido para a máquina do usuário (que muitas vezes lá chegou sem o saber, desviado de algum outro sítio). Como se vê, parodiando Vinícius, são demais os perigos dessa vida...
Por fim, a parte mais importante: o que fazer em caso de contaminação. Se você descobriu um vírus em seu micro e deseja removê-lo sem que ele mesmo intervenha, dificultando o trabalho, a TechRepublic recomenda desconectar-se da Internet, reinicializar o computador e, em uma janela do prompt de comando (aberta acionando a entrada “Executar” do menu “Iniciar”, digitando “cmd” – assim mesmo, porém sem aspas – e teclando ENTER), digitar o comando “shutdown –i” (também sem aspas e não esquecendo do espaço entre o nome do comando e o parâmetro “-i”), e aumentar o tempo disponível para desativar a ação do vírus enquanto o remove.
Neste ponto crucial, o documento da TechRepublic é bastante sucinto, de modo que aqui vai uma explicação mais detalhada caso um dia você venha se encontrar em tal situação aflitiva. O comando “shutdown” serve para desligar o computador e comporta diversos parâmetros (se você quiser ver uma lista deles, digite-o sem parâmetro algum no prompt de comando). O parâmetro “-i” serve para exibir a interface gráfica, ou seja, a janela “Desligamento remoto” (se você seguiu minha sugestão e exibiu a lista de parâmetros, deve ter notado ela menciona que o parâmetro que exibe a interface gráfica seria o “-l”, o que não corresponde à realidade: este parâmetro provoca o desligamento imediato, sem maiores delongas).
Agora, vamos a uma estratégia que lhe dará algum tempo para trabalhar em paz. Aberta a janela, clique no botão “Adicionar” e use a caixa de entrada de dados que então aparece para entrar com o nome de seu computador na caixa “Computadores” (se você não sabe o nome de seu computador, localize o ícone “Meu Computador”, clique sobre ele com o botão direito, acione a opção “Propriedades” do menu de contexto, passe para a aba “Nome do computador” e anote o que está escrito em frente a “Nome completo do computador”). Para ganhar tempo, aumente o valor da caixa “Exibir aviso para 20 segundos” para um número suficientemente grande (9999, por exemplo, lhe dará mais de duas horas e três quartos para trabalhar em paz), escolha um motivo qualquer para desligamento na lista da caixa “Controlador de eventos de desligamento” e clique em OK. Aparecerá um aviso informando o tempo até o desligamento (que depende do número de segundos que você determinou). A partir deste ponto o procedimento de desligamento do sistema (recurso geralmente adotado pelos vírus quando detectam que uma ação corretiva está sendo tomada para removê-los) está sob o controle do próprio sistema operacional, ao qual o vírus não pode se sobrepor. E você ganha um tempo razoável para trabalhar em paz.
Isto feito, rode seu programa antivírus ou um desses utilitários de remoção de vírus fornecidos pelos desenvolvedores de antivírus. Quando tudo estiver resolvido, invoque novamente o comando shutdown, desta vez com o parâmetro “-a” para interromper o processo de desligamento remoto provocado por você, reinicialize o micro e verifique se a remoção foi eficaz.
Pois é isto. Agora você não somente está um pouco mais bem informado sobre vírus como também tem uma idéia razoável de como proceder no caso de ser vítima de um deles. Mas acredite: o melhor mesmo é não ser contaminado. Para isso volto a repetir aquele mantra que todos os meus leitores conhecem de cor e salteado: use um bom antivírus, mantenha suas definições de vírus atualizadas, instale todas as atualizações críticas e de segurança de seu sistema operacional assim que elas estiverem disponíveis e nunca, jamais, em tempo algum, abra anexos a mensagens de correio eletrônico que você não tenha absoluta certeza de que não estão contaminados, especialmente os não solicitados. E boa sorte.

B. Piropo