brasil
sites mundiais
produtos
compras symantec
serviço e suporte
security response
downloads
sobre a symantec
pesquisa
comentarios


© 1995-2005 Symantec Corporation.
Todos os direitos reservados.
Notas Legais
Política de Privacidade

Centro de Pesquisas AntiVirus - SARC

Centro de Educação Antivírus

O Centro de Educação Antivírus da Symantec tem como propósito educar o público sobre as novas medidas de segurança antivírus. Aqui, você encontrará conceitos básicos sobre os vírus e suas modalidades, incluindo os "Cavalos de Tróia" (Trojan Horses), vírus falsos (ou trotes), worms, vírus de macro e vírus de inicialização.

----
Escolha seu setor de Interese
Definição de Vírus
Tipos de Vírus
Como os Vírus São Disseminados
Danos Provocados pelo Vírus
Como Usar o Computador com Segurança
Vírus de Setor de Inicialização
  • O Que São,
  • Quais São os Riscos
  • Como Evitar Vírus de Setor de Inicialização
Anexos de E-mail
Práticas Adicionais de Computação Segura
Você costuma receber e-mail desta pessoa?
Alarmes Falsos de Vírus
Vírus de Cavalo de Tróia
Vírus de Worm
Downloads de Arquivo
Práticas Adicionais de Computação Seguras
Evitar e se Preparar para Perda de Dados
Como Enviar um Possível Vírus
----

Definição de Vírus
Um vírus de computador é um programa pequeno desenvolvido para alterar a forma como um computador opera, sem a permissão ou o conhecimento do seu usuário. Um vírus precisa atender a dois critérios. Primeiro, ele deverá executar a si próprio, frequentemente inserindo alguma versão do seu próprio código no caminho de execução de outro programa. Segundo, ele deve se disseminar. Por exemplo, ele pode se copiar em outros arquivos executáveis ou em discos que o usuário acessa. Os vírus podem invadir tanto computadores desktop como servidores de rede.

Tipos de Vírus

  • Os vírus de PC pertencem a uma dessas três principais categorias: vírus de programa (ou parasitário), vírus de setor de boot e vírus de macro.

  • Os vírus de programa infectam arquivos de programa. Esses arquivos normalmente têm extensões como .COM, .EXE, .OVL, .DLL, .DVR, .SYS, .BIN e, até mesmo, .BAT. Exemplos de vírus de programa conhecidos são Jerusalem e Cascade.

  • Os vírus de setor de boot infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. Todos os disquetes e discos rígidos (incluindo discos com dados apenas) contêm um pequeno programa no registro de inicialização que é executado quando o computador é iniciado. Os vírus de setor de boot anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar a partir do disco infectado. Exemplos de vírus de setor de boot são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como vírus multiparticionados, infecta os registros de boot e os arquivos de programa).

  • Os vírus de macro infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados.

Como os Vírus São Disseminados A forma mais comum de um vírus de boot se espalhar é iniciar um computador com um disquete infectado na unidade A:. Muitas vezes isto ocorre quando você acidentalmente esquece um disco de dados na unidade A: ao iniciar o computador. O disquete infectado imediatamente grava seu código no registro mestre de inicialização (MBR). O MBR é executado sempre que o computador é iniciado; portanto, deste momento em diante, o vírus é executado sempre que o computador é iniciado.

Em geral, os contaminadores de arquivo são espalhados por um usuário que inadvertidamente executa um programa infectado. O vírus é carregado na memória junto com o programa. Em seguida, ele infecta todo programa executado por este programa original ou por qualquer pessoa neste computador. Isto ocorre até a próxima vez em que a máquina for desligada.

Danos Provocados pelo Vírus A maioria dos arquivos tem uma "atividade" ou "gatilho", a ação ou destruição que o vírus executa. Alguns vírus são programados especificamente para danificar o computador corrompendo programas, excluindo arquivos ou reformatando o seu disco rígido. Outros não são desenvolvidos para provocar danos, mas simplesmente para se reproduzirem e chamarem a atenção sobre a sua presença com mensagens de texto, vídeo e áudio. Mesmo estes vírus benignos, no entanto, podem criar problemas para o usuário do computador. Normalmente, eles consumem a memória do computador utilizada por programas legítimos. Conseqüentemente, provocam comportamentos erráticos e quedas do sistema. Além disso, muitos vírus são causados por bugs. E bugs podem causar falhas no sistema e perda de dados.

Como Usar o Computador com Segurança Com toda esta mobilização, é fácil acreditar que há vírus em todos arquivos, e-mails e sites na Web. No entanto, algumas precauções básicas podem minimizar seu risco de infecção. Use seu computador com segurança e incentive todos que você conhece a fazerem o mesmo.

Verifique se as suas definições de vírus estão atualizadas. Use o LiveUpdate (ou o seu método preferido) para fazer download das últimas definições de vírus, pelo menos, uma vez por semana. Para mais informações sobre como atualizar definições de vírus, consulte o documento "SUPORTE DO SARC: Fazendo o download e usando definições de vírus."

Mantenha a Auto-Proteção do Norton AntiVirus (NAV) sempre em execução com as opções corretas no seu computador. As "Opções Corretas" são definidas automaticamente quando o NAV é instalado e incluem:

Certificar-se de que você definiu o NAV para verificar disquetes no acesso e ao desligar. Para obter mais informações, consulte o documento "Checking Floppies for Boot Viruses Upon Access" (Verificando disquetes quando a vírus de boot no acesso). p> Defina a Auto-Proteção do NAV para ser ativada na inicialização e para verificar os arquivos quando um destes arquivos ou operações de programa ocorrerem:
Executar
Abrir
Copiar
Mover
Criar
Download

Estas precauções o manterão protegido contra praticamente todas as ameaças de vírus!

Vírus de Setor de Inicialização

  • Que São Vírus de Setor de Inicialização
    Os vírus do setor de inicialização são vírus que infectam o "setor de inicialização" de um disco rígido ou de um disquete. O que é um setor de inicialização? Quando um computador é iniciado, uma das primeiras coisas que ele precisa fazer é examinar uma parte especial do seu disco rígido (ou disquete se estiver na unidade de disquete) para ler informações ou códigos sobre como inicializar. Isto é o setor de inicialização. Quando a máquina é iniciada e lê este código especial, ela também "carrega" parte deste código na RAM (memória).

    Quando um vírus de setor de inicialização infecta o setor de inicialização da unidade, esta parte do código é substituída pelo vírus ou coexiste ele. Quando o computador infectado é inicializado, ele carrega não só o código normal "limpo", mas também o código virótico. Quando o vírus é carregado na memória, sempre que você tenta acessar um disquete na sua unidade de disquete, este vírus residente na memória verifica se o código está no disquete. Se estiver, nada acontece. Mas se o disquete ainda não estiver infectado, o vírus grava uma cópia dele mesmo nos setores de inicialização do disquete. Se alguém deixar este disquete na unidade de disquete na próxima vez em que o computador for inicializado, o vírus será carregado na memória e recomeçará o processo.

  • Que acontecerá se você inicializar com um disquete infectado, mas a sua máquina não estiver infectada? Se você reiniciar um computador usando um disquete infectado, mas a própria máquina estiver limpa, quando este vírus é carregado na memória, ele verifica os setores de inicialização da unidade de disco rígido local para ver se existe uma cópia dele mesmo. Caso contrário, ele copiará a si próprio no setor de inicialização da unidade de disco rígido e infecta a máquina.

  • Quais São os Riscos dos Vírus de Setor de Inicialização?Embora os vírus do setor de inicialização não estejam recebendo tanta atenção quanto os vírus de macro, eles ainda dão trabalho. Da mesma forma como você deve tratar toda arma como se estivesse carregada, trate todo disquete como se estivesse infectado. Como os vírus de setor de inicialização se espalham através de disquetes e CDs inicializáveis, todo disquete e CD deverá ser verificado quando à existência de vírus. Softwares compactados, discos de demos de fornecedores e software de teste NÃO são exceções a esta regra. Já foram localizados vírus, até mesmo, em software comercializados no varejo.

    Além disso, tenha cuidado com discos utilizados no computador de casa ou no laboratório de informática da escola. É sempre possível que, nestes locais, a proteção antivírus tenha sido desativada e o disquete possa estar infectado. Se este disquete não for verificado, ele pode infectar o ambiente de trabalho também. Atualize as suas definições de vírus, pelo menos, uma vez por semana e ajuste o NAV para verificar todos os disquetes no acesso e ao desligar.

Como Evitar Vírus de Setor de Inicialização
  • Evite deixar um disco flexível no computador quando desligá-lo. Na reinicialização, o computador tentará ler a unidade de disquete e é neste momento que o vírus de setor de inicialização pode infectar o disco rígido.

  • Sempre proteja seus disquetes contra gravação depois de terminar de gravar neles.

Anexos de e-mail
Simplesmente ler ou abrir uma mensagem de e-mail normalmente não dissemina um vírus. No entanto, se o seu sistema de e-mail estiver definido de alguma forma para executar anexos automaticamente, você está correndo riscos.

NOTA: Com a introdução do vírus de worm VBS.BUBBLEBOY, é possível ser infectado apenas abrindo um e-mail no Microsoft Outlook. Este vírus usa uma brecha conhecida na segurança do Outlook. Você pode fazer o download da correção para fechar esta brecha diretamente da Microsoft. VBS.BUBBLEBOY é o que chamamos de um vírus ZOO, o que significa que ele não é encontrado circulando livremente. Isto pode mudar ou outro vírus que use a mesma brecha na segurança poderá ser criado; portanto, é importante que você aplique a correção da Microsoft.

Os anexos de e-mail são uma fonte importante de infecção de vírus. Os anexos do Microsoft Office para Word, Excel e Access podem ser infectados por vírus de Macro. Outros anexos podem conter vírus "infectores de arquivo". A Auto-Proteção do Norton AntiVirus verificará estes anexos quanto à existência de vírus quando eles forem abertos ou copiados. Mantenha a Auto-Proteção do NAV em constante execução no seu computador para evitar infectar seu computador ou o de terceiros por anexos de e-mail.

Além disso, o NAV 2000 agora pode verificar anexos de e-mail antes que o e-mail hospedeiro chegue a aparecer no seu programa de e-mail. Isto permite interceptar os vírus antes mesmo que eles sejam vistos.

Práticas Adicionais de Computação Segura Suspeite de anexos de e-mail provenientes de origens desconhecidas. Abrir ou executar estes anexos é como "aceitar carona de estranhos". Os vírus mais recentes podem enviar mensagens de e-mail que parecem ter sido enviadas por pessoas que você conhece. Alguns sinais de advertência:

Você costuma receber e-mail desta pessoa?
Neste caso, esta pessoa normalmente usa frases como "Read me NOW!!" URGENT!!!? O seu sistema de e-mail formata as linhas de assunto para "Mensagem importante de "? Se o corpo do e-mail informar "Aqui está o documento solicitado" ou "aqui estão as informações solicitadas", você realmente solicitou alguma coisa?

Alarmes Falsos de Vírus Os alarmes falsos são mensagens sobre vírus que supostamente são espalhadas quando você simplesmente lê um e-mail. Estas mensagens são extremamente comuns. Na verdade, elas não passam de correntes. Os indicadores mais comuns de um vírus de alarme falso estão relacionados abaixo. Se você receber um e-mail com todas ou alguma das seguintes frases, provavelmente ele é um alarme falso:

Se você receber um e-mail chamado [nome do alarme falso de e-mail], não abra!
Exclua-o imediatamente!!!
Ele contém o vírus [nome de alarme falso].
Ele excluirá tudo no disco rígido e [perigo extremo e improvável especificado aqui].
A existência deste vírus foi anunciada hoje pela [nome de uma organização com boa reputação aqui].
Envie esta mensagem para todas as pessoas que você conhece!!!

A maioria dos avisos de vírus de alarme falso não varia muito em relação a este padrão. Se você não tiver certeza se um aviso de vírus é legítimo ou um alarme falso, pesquise no site da Symantec AntiVirus Research Center (SARC) na Web em http://www.symantec.com/avcenter/hoax.html. Se o e-mail tiver um arquivo que você supostamente deveria executar, ele é provavelmente um Cavalo de Tróia (veja a próxima seção) e é recomendável que você o envie para o Symantec AntiVirus Research Center (SARC). Consulte o documento intitulado, "How to Submit a Possible Virus Sample to the Symantec AntiVirus Research Center" para ajudá-lo a enviar uma amostra de vírus.

Vírus de Cavalo de Tróia Os Cavalos de Tróia são impostores - arquivos que afirmam ser desejáveis mas, na verdade, são mal-intencionados. Uma distinção muito importante dos verdadeiros vírus é que eles NÃO se reproduzem, como os vírus. Eles não são exatamente vírus, mas são freqüentemente chamados de vírus.

É extremamente improvável que os sites públicos e de boa reputação contenham arquivos de Cavalo de Tróia. No entanto, os anexos de e-mail não solicitados ou arquivos para download certamente podem ser Cavalos de Tróia. Muitos vírus de macro do Word também são considerados Cavalos de Tróia. Para uma listagem completa de Cavalos de Tróia, vá para o site do SARC na Web em http://www.symantec.com/avcenter/vinfodb.html e pesquise "trojan."

Vírus de Worm

  • Os vírus de worm são programas que se reproduzem de um sistema para outro sem usar um arquivo hospedeiro. Em comparação aos vírus, que exigem um arquivo hospedeiro para infectarem e se espalharem a partir dele. Muitos vírus de macro são considerados worms.

  • Embora os vírus de worm em geral "residam" dentro de outros arquivos, normalmente documentos do tipo Word ou Excel, há uma diferença entre como worms e vírus usam o arquivo hospedeiro. O criador do worm costuma divulgar um documento que já tem a macro "worm" dentro do documento. Este documento não pode - e não deve - ser alterado devido ao código ou especificação do worm. O documento inteiro será transmitido de um computador a outro, portanto o documento inteiro deve ser considerado o worm.

  • Uma boa forma de analisar isto é imaginar que você tenha um worm binário (EXE ou executável). Ele tem um cabeçalho EXE e o corpo do código. Conseqüentemente, o worm é o "cabeçalho" + "código" EXE e não apenas o "Código" EXE. Para estender esta analogia a um worm, um documento worm é comparável ao cabeçalho do executável. Sem o documento, o worm não funcionaria e não seria um worm.

Downloads de Arquivo
Os Bulletin Board Systems (BBS) e a Internet são uma fonte de informações, arquivos e programas praticamente inesgotável. Infelizmente, qualquer arquivo postado publicamente pode estar infectado por um vírus. Minimize o risco de infecção verificando arquivos com o NAV enquanto faz o download. Este é um recurso padrão da Auto-Proteção do NAV. Além disso, certifique-se de que a Auto-Proteção esteja sempre em execução no seu computador e que as suas definições de vírus estejam atualizadas.

Práticas Adicionais de Computação Segura
Use o seu bom senso. Se um arquivo ou programa parecer muito bom para ser verdade, provavelmente é. Muitos dos vírus mais perigosos (incluindo o Melissa) foram originalmente obtidos por download de grupos de notícias, sites ou grupos de usuários pornográficos.

Evitar e se Preparar para Perda de Dados
Fazer um backup de seus arquivos é como passar fio dental nos dentes. Exige tempo. Pode parecer inútil. Mas como dizem os dentista, "Não passe o fio dental em todos os dentes, só nos que você quer manter". Só é preciso uma grande perda de dados para que você se arrependa de não ter feito o backup de seus arquivos. Portanto, faça o backup de seus arquivos de dados mais importantes regularmente. Mantenha a mídia - disquete, Zip, Jax ou fita - em um local seguro e proteja-a contra gravação.

Como Enviar um Possível Vírus
Consulte o documento intitulado, "How to Submit a Possible Virus Sample to the Symantec AntiVirus Research Center" para ajudá-lo a enviar uma amostra de vírus.