Como funcionam os vírus de computador

Autor: 
Marshall Brain

Os vírus de computador tendem a prender nossa atenção. De um lado, expõem nossa vulnerabilidade. Um vírus bem engendrado pode ter um espantoso efeito na Internet. Por outro lado, ele nos mostra quão sofisticado e interligado tornou-se o gênero humano.

Especialistas estimam que o vírus Mydoom worm (em inglês) infectou aproximadamente 250 mil computadores em um único dia, em janeiro de 2004 (Times Online - em inglês). Em março de 1999, o vírus Melissa (em inglês) foi tão poderoso que forçou a Microsoft e um grande número de outras grandes empresas a desativar seus sistemas de e-mail até que o vírus pudesse ser contido. O vírus ILOVEYOU (em inglês), em 2000, teve um efeito devastador semelhante. O impessionante é que os vírus Melissa e ILOVEYOU são muito simples.

Neste artigo, vamos discutir sobre os vírus de computador, tanto os "tradicionais" como os novos vírus de e-mail. Vamos aprender como eles funcionam e como podemos nos proteger deles. Os vírus estão em declínio mas, ocasionalmente, encontra-se uma nova maneira de se criar um, e é quando eles viram notícia.

Os vírus de computador são chamados de vírus porque compartilham algumas características com os vírus biológicos. Um vírus de computador se espalha de um computador para outro da mesma maneira que um vírus é transmitido de uma pessoa para outra.

Há também similaridades em níveis mais profundos. Os vírus biológicos não são criaturas vivas. Um vírus é um fragmento de dentro de um invólucro protetor. Diferentemente de uma célula, os vírus não têm capacidade para fazer nada, nem se reproduzirem. Não são seres vivos. Os vírus biológicos precisam injetar seu DNA nas células. O DNA do vírus usa os mecanismos existentes na célula para se reproduzir. Em muitos casos, a célula infla com o novo componente viral até se romper, liberando o vírus. Em outros casos, as novas partículas do vírus enxertam a célula de uma vez, mantendo-a viva.

Os vírus de computador compartilham algumas dessas peculiaridades. Ele precisa ser sobreposto em algum outro programa ou documento para ser executado. Quando executado,  é capaz de infectar outros programas ou documentos. Obviamente, a analogia entre vírus de computador e vírus biológico exacerba um pouco os fatos, mas há similaridades suficientes para que o nome se aplique.

Quando ouvimos as notícias, conhecemos muitas formas diferentes de infecção eletrônica. Os mais freqüentes são:

  • Vírus - o vírus é um pequeno trecho de programa que se sobrepõe ao programa real. Um vírus pode atacar programas, como um programa de planilhas. Cada vez que o programa de planilha é executado, o vírus também o é, tendo a chance de se reproduzir (atacando outros programas) ou causar destruição.

  • Vírus de e-mail - um vírus de e-mail circula em mensagens de e-mail, geralmente replicando-se com o envio automático para dezenas de outras vítimas tiradas do catálogo de endereços do e-mail.

     

  • Worms - o worm é um trecho de um programa que utiliza redes de computadores e falhas de segurança para se replicar. Uma cópia de um worm procura por uma outra máquina na rede que possua uma falha de segurança específica. Ele se copia na outra máquina utilizando-se da falha de segurança e então começa a se replicar a partir da outra máquina também.

     

  • Cavalo de tróia - o cavalo de tróia é simplesmente um programa de computador. O programa alega fazer uma coisa (pode fingir ser um jogo), mas em vez disso ele causa danos quando é executado (ele pode apagar seu disco rígido). Cavalos de tróia não se replicam automaticamente.

 

O que é um "Worm"?
Worm é um programa de computador que tem a habilidade de se replicar de uma máquina em outra. Os worms esgotam o tempo de processamento de um computador e a capacidade da banda de uma rede quando se replicam, geralmente repletos de más intenções. O worm chamado Code Red virou notícia em 2001. Especialistas previram que ele poderia obstruir a Internet com tanta eficiência que ela poderia ser reduzida a uma rede completamente imobilizada.

Os worms movem-se continuamente infectando outras máquinas através das redes de computadores. Através da rede, um worm pode se proliferar com incrível rapidez. O worm Code Red, por exemplo, multiplicou-se mais de 250 mil vezes, em aproximadamente nove horas, em 19 de julho de 2001.

Um worm, freqüentemente, explora alguma falha de segurança em um trecho de programa ou sistema operacional. Por exemplo, o worm Slammer - link em inglês (que causou confusão e destruição em janeiro de 2003) explorou falhas no servidor SQL da Microsoft. Esse artigo (em inglês) oferece um fascinante exame do pequeno (376 bytes) programa Slammer.

O worm Code Red tornou lento o tráfego da Internet quando começou a se replicar, mas não de forma tão severa como previsto. Cada cópia do worm varreu a Internet à procura de servidores com Windows NT ou Windows 2000 que não tinham instalado o patch de segurança da Microsoft. Sempre que localizava um servidor não seguro, o worm se replicava nele. Esta nova cópia então procurava outros servidores para infectá-los. Dependendo do número de servidores não seguros, o worm poderia, de modo concebível, criar centenas de milhares de cópias.

O worm Code Red foi criado para fazer três coisas:

  • replicar-se nos primeiros 20 dias de cada mês
  • substituir páginas da web em servidores infectados por uma página que anunciava "Invadido por hackers chineses"
  • lançar um ataque concentrado ao servidor da web da Casa Branca em uma tentativa de dominá-lo

A versão mais comum do Code Red é uma variação, comumente chamada de modo mutante, do original Ida Code Red que se replicou em 19 de julho de 2001. De acordo com o Centro Nacional de Proteção à Infra-estrutura:

 

O worm Ida Code Red, detectado pela primeira vez pelo eEye Digital Security, tirou vantagem das vulnerabilidades conhecidas do serviço ISAPI (Internet Server Application Program Interface) do Microsoft IIS. Sistemas sem correções de segurança são suscetíveis a um "estouro do buffer" no Idq.dll, o que permite ao atacante executar códigos embutidos nos sistemas afetados. Este worm residente na memória, uma vez ativado no sistema, tenta primeiramente propagar-se criando uma seqüência de endereços IP aleatórios para infectar servidores da web não protegidos. Cada thread (parte do programa com funcionamento em paralelo) do worm examinará o relógio do computador infectado. O NIPC determinou que a hora da execução no DOS do worm Ida Code Red era 0h00 horas de 20 de julho de 2001. Isto representava 8 horas da noite na costa leste dos Estados Unidos.

Após o sucesso da infecção, o worm deveria esperar pela hora determinada e conectar-se ao www.whitehouse.gov (em inglês) domínio. Este ataque consistiria em sistemas infectados enviando simultaneamente 100 conexões para a porta 80 do endereço www.whitehouse.gov (198.137.240.91).

O governo americano mudou o endereço IP do site www.whitehouse.gov para evitar a ameaça daquele worm e emitiu um alerta geral sobre ele, advertindo os servidores da Web que usavam o Windows NT ou o Windows 2000 para instalar o patch de segurança.

Na próxima seção veremos como e por que os vírus foram criados.

Mais sobre o Code Red
Para mais informações sobre o worm Code Red, confira estes links (em inglês):