Virus-A Biblia

Antes de mais nada, e' preciso dizer que praticamente qualquer coisa de errado que acontece com um computador durante uma sessao de trabalho e' atribuida a um virus, independente da causa estar no programa ou na falta de experiencia do usuario. De acordo com uma pesquisa da PC Magazine, 50 % dos prejuizos em software sao culpa de mal uso ou inexperiencia. Qualquer um que atualize o software sabe os problemas de reaprender a mexer com novos botoes de salvamento de trabalho ou teclas de saida e apagamento que colidem com o uso antigo de outro software. O usuario inexperiente destroi muito mais dados do que qualquer virus. Mesmo programas bem desenvolvidos tem defeitos que destroem o trabalho por conta de alguma falha no lancamento. Normalmente sao as versoes X.0. Qualquer pessoa que utilize um software recem-lancado (normalmente numero ponto zero) se arrisca a ter dores de cabeca que nao serao culpa de virus de computador e que ninguem sabera' como resolver. A versao 5.01 de qualquer programa e'quase sempre a versao com correcao dos erros encontrados na versao 5.0. Para quem nao acredita e' so' perguntar a alguem que comprou a versao 6.0 do Wordperfect para Windows logo quando saiu. Ou a versao 6.0 do MSDos, a versao 3.0 do Windows, ou a versao 5.0 do Clipper. Saiu um artigo na folha de Informatica do Estado de Sao Paulo (13/02/94) falando sobre o Pentium e tambem como alguns softwares recem-saidos podem apresentar defeitos, ou bugs, tao destrutivos quanto um virus. Um virus de computador e' um programa que pode infectar outro programa de computador atraves da modificacao dele de forma a incluir uma copia de si mesmo (de acordo com Fred Cohen, autor de "A Short Course on Computer Viruses"). A denominacao de programa-virus vem de uma analogia com o virus biologico, que transforma a celula numa fabrica de

copias dele. Para o publico em geral qualquer programa que apague dados, ou atrapalhe o trabalho pode levar a denominacao de virus. Do ponto de vista de um programador, o virus de computador e' algo bastante interessante. Pode ser descrito

como uma programa altamente sofisticado, capaz de tomar decisoes automaticamente, funcionar em diferentes tipos de computador, e apresentar um indice minimo de problemas ou mal-funcionamento. Stephen Hawking se referiu ao virus de computador como a primeira forma de vida construida pelo homem. De fato: o virus e' capaz de se reproduzir sem a interferencia do homem e tambem de garantir sozinho sua sobrevivencia. Como a auto-reproducao e a manutencao da

vida sao para alguns cientistas, o basico para um organismo ser descrito como vivo. O virus Stoned e' um exemplo que resiste ate' hoje, anos depois da sua criacao. Sendo o virus um programa de computador sofisticado, ainda que use tecnicas de inteligencia artificial, ele obedece a um conjunto de instrucoes contidas no seu codigo. Portanto e' possivel se prevenir contra seu funcionamento,

conhecendo seus habitos. Bomba Logica e Cavalo de Troia

------------------------------

O cavalo-de-troia se assemelha mais a um artefato militar como uma armadilha explosiva ou "booby-trap". O principio e' o mesmo daquele cigarro-explosivo ou de um daqueles livros que dao choque. Nao se reproduz. A expressao

cavalo-de-troia tambem e' usada para com programas que capturam senhas sem o conhecimento do usuario. O criador do programa pode usufruir da senha de acesso capturada. Um exemplo de bomba-logica e' um arquivo texto "armadilhado"

que redefina o teclado ao ser lido pelo comando TYPE. Em um exemplo classico, o sujetio digita:

C:\> type carta.txt

Os codigos acrescentados ao texto alteram a tecla x (ou qualquer tecla, nao importa) de forma que, ao inves de escrever x na tela ela aciona uma macro que ativa a formatacao do disco rigido.

Existe um software, chamado CHK4BOMB, disponivel no subdiretorio msdos/virus de qualquer "mirror" do Simtel20 que ajuda a detectar a existencia desse tipo de programa. Os antivirus comuns dificilmente detectam, a nao ser em casos mais famosos.

Modus Operandi

--------------

Ate' algum tempo atras, os virus se dividiam em dois grupos principais:

Virus de disco - ex: Stoned, Michelangelo, Ping-Pong

----------------------------------------------------

Infectam o BOOT-SECTOR. Esta e' a parte do disco responsavel pela manutencao dos arquivos. Da mesma forma que uma biblioteca precisa de um fichario para saber onde se encontram os livros, um disco precisa de ter uma tabela com o endereco dos dados armazenados. Qualquer operacao de entrada e saida (carregamento ou salvamento de um arquivo, por exemplo), precisaria do uso dessa tabela. Salvar ou carregar um arquivo num disquete infectado possibilitaria a

ativacao do virus, que poderia infectar outros disquetes e

o disco rigido.

Virus de Arquivo - ex: Jerusalem, Athenas, Freddy

-------------------------------------------------

Infectam arquivos executaveis ou de extensao .SYS, .OVL, . MNU, etc. Estes virus se copiam para o inicio ou fim do arquivo. Dessa forma, ao se chamar o programa X, o virus se ativaria, executaria ou nao outras tarefas e depois

ativaria o verdadeiro programa.

Atualmente existem uma terceria e quarta categorias

Virus Multi-partite- ex: Whale, Natas

-------------------------------------

Infectam tanto o disquete quanto os arquivos executaveis.

Sao extremamente sofisticados.

Virus como o DIR-II

-------------------

Alteram a tabela de arquivos de forma a serem chamados antes do arquivo programa. Nem propriamente dito sao FILE-INFECTORS nem sao realmente BOOT-INFECTORS muito menos multi-partites.

Outras caracteristicas e um pouco de historia:

Virus residentes e nao-residentes:

----------------------------------

Os primeiros virus eram de concepcao muito simples e funcionavam como programas auto-reprodutores apenas. O usuario usava o programa infectado, acionava o virus, que infectava todos os outros programas no subdiretorio (virus

cacadores, que procuram programas em outros subdiretorios sao muito bandeirosos) e depois colocava para funcionar o programa (o que o usuario realmente queria usar). Ponto final. Se um programa nao infectado for acionado, ele nao sera' infectado.

Os virus residentes, mais sofisticados permanecem na memoria apos o uso do programa infectado. Portanto podem infectar qualquer outro programa que for chamado durante a mesma sessao de programacao, ate' que o computador seja

desligado. Como o sistema operacional e' basicamente um programa destinado a tornar comandos como DIR, TYPE, etc inteligiveis para os chips do computador, ele se torna objeto de infeccao. Neste caso, toda vez que o computador for ligado, o virus sera' carregado para a memoria, podendo infectar qualquer programa que for usado. A grande maioria dos virus atuais pertence a este tipo de virus.

Quanto a detecção:

Stealth - ex: Athenas, 4096, GenB, etc

--------------------------------------

Um virus, como todo programa ocupa espaco em disco. O codigo, em linguagem de maquina, mesmo ocupando um espaco minimo, aumenta o tamanho do arquivo. Ao se copiar para dentro do programa a ser infectado, duas coisas aconteciam:

o programa aumentava de tamanho e alterava a data de gravacao. No caso do virus Jerusalem, por exemplo, o programa "engordava" a cada execucao, chegando a se

auto-infectar ate' tamanhos absurdos.

Para checar se o arquivo estava infectado era so' fazer uma copia do mesmo e acionar esta copia. Depois bastava executar o comando "DIR" e o resultado mostraria que a data, hora de criacao e o tamanho do programa eram diferentes.

Com o 486, isso nao acontecia. Uma vez residente na memoria, o virus checava para a existencia de uma copia sua no arquivo .exe ou .com e restaurava uma data quase identica de criacao de arquivo. Dessa forma, so' um antivirus ou um usuario atento descobria a diferenca. O virus ATHENAS ja' e' algo mais sofisticado. Ele altera tudo de forma a evitar que um Antivirus detectasse a diferenca. Em outras palavras, seria necessario que o virus nao fosse ativado para que fosse detectado. Se o arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou .exe de um disco rigido seriam infectados, cedo ou tarde. O usuario poderia usar o antivirus que quisesse. O virus continuaria invisivel. Dai o uso do adjetivo "STEALTH", do aviao americano invisivel ao radar.

Como alguns desses virus verificam ate' se ja' estao presentes na memoria, o funcionamento do computador nao diminuiria de velocidade o suficiente para alertar o usuario.

OBSERVACAO: Uma vez que o virus Stealth esconde sua presenca de qualquer programa antivirus, uma forma de descobri-lo é justamente guardar um disquete com o programa infectado. Se o programa antivirus do micro "suspeito" de infeccao nao o descobrir a presenca de virus no disquete, entao provavelmente o micro esta' infectado. Isso funciona principalmente com versoes mais novas de um mesmo virus, como o Athenas, o GenB (vulgo Brasil), etc..

Companheiros (Companion)

------------------------

Sao virus que nao infectam programas .exe. Ao inves disso criam um arquivo de extensao .com, cujo o atributo e' alterado para Hidden (escondido). Como o arquivo .Com e' executado antes do .exe, o virus entra na memoria e depois chama o programa. E' facil e dificil de detectar. Por não alterar o programa, escapa a algumas formas de detecção, como a checagem do CRC. Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH mostra todos os arquivos

escondidos. Mas para se ter certeza, so' quando o BOOT e' feito com um disquete limpo de virus, ja' que nada impede de um virus Companion ser tambem Stealth (ou polimorfico, ou multi-partite, tem virus para todos os gostos).

Polimorficos - ex: Natas, Freddy, etc

-------------------------------------

No tempo em que os primeiros antivirus contra o Jerusalem apareceram, alguns "espertos" resolveram criar novas versoes indetectaveis atraves da alteracao do virus. Como o antivirus procura uma caracteristica do virus para dar o alarme, essa modificacao obrigava a criacao de um novo detector de virus. Isso e' bastante comum. Novas versoes de virus sao feitas a cada dia, aproveitando-se esqueletos de antigas versoes, tendo alguns virus gerado verdadeiras "familias" de "parentes", de versoes mais antigas. O proprio virus Michelangelo seria uma versao "acochambrada" do virus Stoned.

A ultima moda (para os projetistas de virus) e' o uso da poliformia. O virus se altera a cada vez que infecta um novo arquivo. Dessa forma o virus cria N variacoes de si próprio. Hipoteticamente, se uma variacoes escapasse ao antivirus, ela poderia re-infectar todos os arquivos novamente.

Retrovirus - ex: Goldbug, Crepate

---------------------------------

Sao virus que tem como alvo antivirus, como o Scan, Clean, CPAV NAV, ou qualquer arquivo que contenha as strings AV, AN, SC, etc no nome. Pode ser o objetivo principal ou paralelo. O Crepate, por exemplo, e' multipartite (infecta tanto o boot como arquivos executaveis). Alguns simplesmente deletam os arquivos que contem o CRC dos programas analisados (uma especie de selo que alguns antivirus, como o NAV, por exemplo, criam: um arquivo onde varias caracteristicas pre-infeccao (tais como tamanho, data, atributos)

ficam armazenadas). Um ou outro anti-virus tem codigo p. desativar anti-virus residentes, como o V-SHIELD e o VACINA e passar desapercebido.

Virus-anti-virus

----------------

Existem virus que se especializam em detectar e infectar arquivos já infectados por outros virus menos sofisticados.

Metodos de deteccao

-------------------

Como vimos anteriormente, os virus mais antigos deixavam rastros que possibilitavam sua descoberta:

Sintomas:

---------

Demora maior na execucao de um programa. O sistema fica mais lento como um todo.

Aumento no tamanho dos programas.

Alteracao na data de criacao do programa. Quando o virus infecta, o programa aparece uma data de criacao recente.

No caso de virus de disco, e' possivel que alguns arquivos do disquete pura e simplesmente desaparecam.

Igualmente o aparecimento de mensagem acusando Bad Cluster em todos os disquetes usados (nao confundir com o que acontece com um disquete de 360k formatado por engano para 1.2 de capacidade). Nos tempos do virus Ping-pong, essa era uma dica de infeccao.

Disquete funciona em PC-XT mas nao funciona em um PC-AT.

Antivirus alerta para modificacao em seu arquivo (os novos programas antivirus nao funcionam quando sao modificados pela infeccao de um virus). Nao se deve utiliza-los mesmo quando possivel se houver virus na memoria, pois isso infecta todos os arquivos que forem examinados.

Utilizacao de ferramentas como Norton Utilities ou PCTOOLS para visualizacao do setor de Boot mostram modificacoes (so' para quem sabe a diferenca).

Programa Windows deixa de funcionar ou congela repetidamente.

Para se "limpar" um virus

-------------------------

O mais simples e' o uso de um antivirus, como o Scan, NAV, Thunderbyte, ou F-Prot. Cada um destes tem sua propria forma de utilizacao.

Atualmente o Thunderbyte e o F-Prot estao ganhando uma otima reputacao, embora o Scan ainda seja capaz de proezas na limpeza de virus polimorficos, por exemplo. O Norton Antivirus possui em seu pacote um programa denominado Vacina, que, como o VShield (da mesma firma que fabrica o Scan) vigia para a entrada de virus e e' recomendavel. O NAV em si tem os seus defensores, mas alguns o consideram um desperdicio de espaco na Winchester.O F-Prot possui um banco de dados contendo descricoes de virus de computador ja' analisados por eles. A firma edita tambem um boletim sobre virus, disponivel em ftp site e em www, com boas descricoes sobre novos problemas causados por novos tipos de virus. O Scan da MCafee alterou recentemente o formato original de programa. Alguns o consideram mais vulneravel a acao de virus anti-virus (os chamados retro-virus). Ate' a versao 6.2 do DOS existia um antivirus da Central Point junto com o pacote. Gerou um rebulico pela quantidade de falso-positivos (dava alarmes falsos) que gerava, quando usado em conjunto com outros antivirus. Sua eficacia era igualmente reduzida pelo fato de que nao e' facil de atualizar. Novos tipos de virus passariam indetectaveis.

Precaucoes:

----------

Antes de qualquer tentativa de se limpar um micro ou um disco deve-se dar um BOOT com um disquete limpo de virus. Este disquete, se nao existir, deve ser feito em algum outro micro onde o virus nao apareceu, atraves do comando SYS. Apos a copia do sistema operacional para o disquete, copia-se o antivirus para o disquete e coloca-se a etiqueta de protecao. Desliga-se o micro e liga-o novamente como o novo disquete de sistema, (devidamente protegido contra gravacao atraves da etiqueta) no drive A:.Sabendo-se que determinado disquete contem virus de disco, a forma correta de se limpa-lo sem recorrer a antivirus e' atraves do comando SYS do DOS. E' necessario que o disquete tenha espaco suficiente para que o comando funcione, portanto se usa o PCTOOLS ou algum outro programa

copiador de arquivos para copiar os arquivos antes de executar o comando SYS A: ou SYS B:. O ideal e' formatar o disquete.

No caso do disco rigido infectado com virus de disco, e' necessario garantir o salvamento ou o back-up dos dados mais importantes, como:

arquivos de configuracao:

autoexec.bat, config.sys, win.ini, etc

arquivos de dados:

aqueles com os quais voce trabalha desde o ultimo back-up.

Em seguida, usar o comando MIRROR para fazer uma copia do boot sector do disco em disquete (que ficara' infectado, mas podera' ser limpo depois com mais facilidade). Feito isso, pode-se apartir do prompt do DOS no drive C: digitar:

C:\> \dos\fdisk /mbr

Imediatamente se desliga o micro, para evitar reinfeccao. Essa tecnica funciona em muitos casos, mas o inteligente é executá-la tendo inicializado o micro com um disquete limpo de virus no drive a: (nao existe nada melhor). No caso de micro contaminado por virus de arquivo polimorfico(NATAS ou FREDDY), o ideal e' a re-instalacao de todos os arquivos infectados, comecando pelo command.com.

Arquivos texto poderao ser salvos.

Algumas dicas para o SCAN:

Pode-se pesquisar muitos disquetes de uma so' vez com a seguinte linha de comando:

C:\> scan a: /many

Para se evitar o tempo que o antivirus perde checando a memoria:

C:\> scan a: /nomem

Para se ter as instrucoes do Scan e do Clean em portugues existe um arquivo de extensao .msg, disponivel na maioria dos sitios que possuem antivirus. E' so' renomear o arquivo para MCAFEE.MSG e automaticamente o scan adota as mensagens daquela linguagem.

EX:

C:\> ren spanish.msg mcafee.msg

As ultimas versoes do Scan (2.3) tem a lista de virus e oantivirus Clean incorporado.

ex: scan c: /clean

Automaticamente limpa os arquivos infectados

ex: scan /vlist

Exibe uma lista dos virus que esse antivirus detecta (e/ou limpa).

Como funciona um programa antivirus:

-----------------------------------

Pouca gente que trabalha com isso desconhece. Sao tres as principais formas de se detectar a acao de um virus num sistema atraves do programa antivirus.

1) Vigiando a memoria do micro para acao de qualquer novo

programa (quando o virus e' residente, ele ocupa espaco

na memoria e pode ser rastreado atraves de programas como

o CHKDSK ou MEM /c) ou outros sinais de infeccao.

2) Mantendo um arquivo com as caracteristicas do(s) arquivos

antes da infeccao. Assim, como se fosse um policial, ele

ele examina o CRC, a data de criacao do arquivo, o tamanho

e outras caracteristicas cuja alteracao denunciaria acao

indevida.

3) Abrindo cada um dos arquivos passiveis de infeccao e

examinando o codigo do programa. Lembrar que o virus e'

um programa de computador que se copia sem intervencao

humana para outro programa ou boot sector. Um programa

e' composto de as vezes milhares de instrucoes em

linguagem de baixo nivel.

O que o programa anti-virus faz e' ler esse

"texto" dos arquivos executaveis (de extensao .COM,

.EXE ou .OVL, entre outros) e procurar por uma linha

de codigo caracteristica de virus de computador.

O programa, ao encontrar uma semelhanca entre o codigo

do virus e a linha de codigo que ele tem armazenada

na memoria como pertencente a um virus, aciona a

mensagem de alerta para o usuario.

Observacao:

-Alarmes falsos -

Algumas vezes quando o antivirus nao foi bem testado, o programa pode classificar outro programa como infectado, so porque ele encontrou essa parte do codigo, sem que exista nenhum virus no computador (a isso se chama o falso alarme). Esse tipo de busca e' tambem feito na memoria do micro, algumas vezes tambem com o mesmo efeito, sendo famoso o antivirus disponivel com a versao 6.2 do MSDOS. Se fosse usado junto com o antivirus SCAN versao 108 (nao tenho certeza), este emitia a mensagem de que o virus "Protector" estava ativo na memoria (quando na verdade o antivirus e' que estava).

Para se estudar um virus:

-------------------------

Para as almas corajosas que querem, por uma razao ou outra colecionar virus para estudo (atitude que aprovo, desde que o fim seja o de aprender alguma forma de se livrar deles de forma mais facil), aqui vao algumas dicas.

Em primeiro lugar, nunca estudar o virus em um micro

contendo arquivos de outra pessoa com dados valiosos que

possam ser perdidos. Se for usar o seu micro, certifique-se

de que tem todos os arquivos back-up guardados e faca novo

BACK-UP antes do inicio do trabalho.

Segundo lugar. Tenha o virus copiado para um disquete. Isso

e' feito atraves da copia do arquivo infectado para um

disquete. No caso de virus de disco, formatando um disquete

(com sistema operacional, usando format a: /s na linha de

comando).

Terceiro lugar. Tenha um disquete de Boot, limpo de virus a

mao. De preferencia dois, todos com etiqueta.

Quarto: modifique o autoexec.bat no disquete, adicionando o

comando subst da seguinte maneira:

Ex:

subst c: a:

subst b: a:

subst qualquer outro drive a:

Obs: Em teoria isto vai impedir o virus de se propagar para o drive C:, mas o melhor ainda e' desligar a Winchester mexendo na configuracao da BIOS ou via desligamento da placa da winchester.

Feitas essas preparacoes, comeca-se a testar o virus. O ideal e' ter um arquivo de isca, com um codigo simple como esse:

{programa retirado da revista Virus Report - nr 4 pg 4 }

org 100h

code segment

assume cs:code, ds:code

programa proc

inicio:

mov ah, 4Ch

mov al, 0h

int 21h

programa endp

code ends

end inicio

A ideia e' ter um programa cujo codigo nao confunda na hora de examinar. Na verdade, o programa poderia ser bem menor. So' que alguns virus se recusam a infectar programas com menos de 500 bytes. Compilar com o MASM ou TASM.

Havendo tal programa que chamarei de isca, deve-se renomea-lo para isca.xxx antes do inicio das experiencias.Para averiguar o comportamento do virus desenvolvi o seguinte metodo:

1) Antes de ativar o programa infectado

Digitar;

dir isc*.* >> teste.doc

copy isca.xxx isca1.com

arquivo <------------ aciona-se o arquivo virotico

echo "arquivo virotico ativado" >> teste.doc

^

I

(Comando para inserir essa linha no arquivo de registro sem

editor de texto)

2) Uma vez o arquivo ativado ( o virus provavelmente na

memoria)

Digitar:

dir isc*.* >> teste.doc

isca1

echo "isca1.com ativado" >> teste.doc

dir isc*.* >> teste.doc

3) realizar novo boot para tirar o virus da memoria

Digitar:

echo "situacao apos boot" >> teste.doc

dir isc*.* >> teste

Podem ser estudados:

- O aumento do arquivo apos a infeccao

- As diferencas na quantidade de memoria livre existen-

te apos ativacao (usando o CHKDSK e o MEM)

- O tipo de arquivos que infecta e se tem um tempo

de incubacao (tempo durante o qual nada acontece).

- Colocar varios arquivos juntos de uma so' vez,

para se determinar se e' fast-infector.

- Pode ser considerado "Stealth" se conseguir

esconder sua presenca.

Obs: Nao se deve em hipotese alguma executar o Debug com o virus na memoria do micro.

Obs2: O virus pode ser considerado Stealth (furtivo) se as alteracoes no arquivo ficarem visiveis com um boot feito com disquete limpo de virus (no caso de um que ataque arquivos).

Os virus de Boot sao estudados dando-se o boot com um disquete infectado com o mesmo. Usar-se o comando SYS do DOS para se implantar o sistema operacional no disqueteinfectado apagara' o virus no disquete.

Exemplo de descricao de um virus que espalhou muita destruicao, na Universidade de Sao Paulo ( e outros lugares, sem duvida)

---------------------------------------------------------------------

Texto distribuido junto com o programa antivirus anti-brazil virus,

programa de autoria do Prof. Raul Weber

Instituto de Informatica - UFRGS - Brazil

Caracteristicas do "Brasil virus!"

A analise abaixo e' baseada em uma amostra do virus em um disquete de 360k.

Este setor foi enviado por Joseph Max Cohenca, da USP.

1. O virus nao e' detectado por nenhum anti-virus atualmente disponivel

ate' a date de 5 de outubro de 1992. Mais especificamente, o F-Prot 2.05

nao detecta nada, tanto em modo "normal" quanto em modo 'heuristico".

O scan 95b detecta um "Generic Boot Infector", mas isto e' simplesmente

um aviso de que o SCAN nao descobriu no setor de boot o codigo normal

de um disquete DOS. Se isto e' realmente um virus ou algum sistema

operacional "clonado" do DOS, o SCAN nao sabe. Por falta de

informacao a respeito, o CLEAN nao consegue restaurar o disquete.

2. O virus e' um virus de bootstrap, e parece ser inedito, ou seja, ou e'

realmente um virus brasileiro, ou uma copia muito modificada de um virus

ja' existente (como Stoned, Michelangelo ou Disk Killer).

3. O virus usa tres setores do disco (ou disquete). O primeiro setor, que

substitui o boot em disquetes ou o master boot de discos rigidos, contem

o codigo da ativacao inicial do virus, que e' executado quando se liga a

maquina ou se reinicializa ela (por reset ou Ctl-Alt-Del). O segundo setor

contem o codigo do virus que se torna residente, e que e' responsavel

pela propagacao e ataque do virus. No terceiro setor o virus guarda o

setor de boot original.

4. Em discos rigidos, o virus usa para os seus tres setores os setores 1, 2

e 3, do cilindro zero, cabeca zero. (Obs: nestes discos, o setor 1 e' o

masterboot, que contem a tabela de particao). Para eliminar o virus, basta

copiar o setor 3 (a copia do master boot original) de volta para o setor 1.

5. Em disquetes de 360k, o virus usa os setores 0, 10 e 11 (numeracao DOS;

isto significa set.1, cil.0, tr.0 (boot), set 2, cil.0, tr.1 (setor 10) e

set.3, cil.0, cab.1 (setor 11). Os setores 10 e 11 sao os setores finais

do diretorio raiz, e o virus pode causar problemas se existirem muitos

arquivos no diretorio raiz. Para eliminar o virus e restaurar o disquete,

basta copiar o setor 11 para o setor 0.

6. O virus tem a capacidade de infectar outros disquetes (720k, 1.2M e 1.44M),

localizando-se sempre nos dois ultimos setores do diretorio raiz, que tem

baixa probabilidade de serem ocupados pelo DOS.

7. O virus testa sua presenca atraves dos enderecos 01A8 e 01A9 (em hexa)

do setor de boot. Se estes dois bytes forem CF CF, o virus assume que ja'

infectou o disco. Se nao, o virus procede 'a infeccao.

8. O virus, durante sua carga (na inicializacao do sistema), intercepta

unicamente o vetor 13H da tabela de interrupcao do DOS. Esta entrada

realiza os servicos do BIOS de acesso a discos e disquetes.

9. O virus usa tecnicas de invisibilidade (Stealth) para impedir sua

deteccao. Qualquer tentativa de leitura do setor de boot e' interceptada

pelo virus, que devolve o setor original. Assim, para uma analise ser

efetiva, o virus nao deve estar residente na memoria.

10. Ao realizar o seu ataque, o virus escreve "Brasil virus!" na posicao

atual do cursor na tela. Este texto ("Brasil virus!") esta' criptografado

e nao pode ser detectado por um programa editor de disco. Obs: Brasil esta'

escrito com "s" e nao "z".

11. O virus somente infecta discos rigidos (na hora da carga do

sistema) e disquetes no driver A:. Disquetes no driver B: nao

sao infectados. Disquetes sao infectados ao realizar-se operacoes

de leitura sobre os mesmos. Obs: um simples comando de "DIR" e'

suficiente para infectar um disquete.

Os seguintes dados sao preliminares e necessitam de maior analise:

1. Para realizar o ataque, o virus conta tempo apos a infeccao do

disco rigido. Aparentemente, passando-se 120 horas de uso do

computador apos a primeira infeccao, o virus escreve a mensagem

"Brasil virus!" na posicao atual do cursor, apaga as primeiras

trilhas do disco rigido e "congela" o computador.

Um programa especifico para detectar e eliminar o "Brasil virus"

ja' foi desenvolvida pelo Instituto de Informatica da UFRGS e esta'

disponivel por ftp anonimo na maquina caracol.inf.ufrgs.br (143.54.2.99),

diretorio pub/virus/pc, arquivo antibr2.zip.

------------------------------------------------------------------

Porque os virus sao escritos:

-----------------------------

O chamado virus de computador e' um software que sempre capta atencao e estimula a curiosidade. Esta pergunta foi feita na convencao de Hackers e fabricantes de virus na Argentina. A primeira resposta foi:

- Because it's fun. (por diversao, entretenimento)

Outras respostas:

- Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind "Os virus de computador sao a primeira forma de vida feita pelo homem"). Esta proposta e' seguida por varios cientistas, incluindo um que pos a disposicao seu virus (inofensivo) para aqueles que estivessem interessados. Existe uma revista eletronica dedicada a isto, chamada Artificial Life e varios livros sobre o assunto. Em suma algo serio.

- Para descobrir se sao capazes de fazer isso ou para mostrarem para os colegas do que sao capazes de fazercom um micro. Testar seus conhecimentos de computacao.

- Por frustracao ou desejo de vinganca. Muitos autores de virus sao adolescentes. Um jovem (inconformado com o fato de que o pai nao esta' afim de comprar aquele kit de multimidia para o seu micro), usa o que sabe para ...

* Esta hipotese e' pura imaginacao. Mas a vontade de sublimar uma raiva atraves de atos de vandalismo existe, como demonstram os pichadores e quebradores de telefones.

- Curiosidade. Algo muito forte, mesmo para aqueles que tem pouco conhecimento de informatica. Uma das melhores formas de se aprender sobre virus e' "criando" um.

- Para conseguir acesso a BBSes de virus. Existem BBSes que possuem bibliotecas de virus e codigos fontes como a Viegas BBS (agora desativada) e outras nos EUA e em outros paises. O usuario podia ter acesso a colecao de virus se fornecesse um novo. Muitos criavam ou modificavam virus ja' existentes p. ter esse acesso (alias

dois tercos dos virus ja' registrados sao resultado desse intento, sendo muitos considerados fracos ou pouco sofisticados, comparados com os originais).

- Para punir aqueles que copiam programas de computador sem pagar direitos autorais.

- Para conseguir fama.

- Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o uso de uma outra arma de "atrapalhamento" do sistema de computadores do inimigo. Ainda assim, os virus p. uso militar sao uma possibilidade.

etc, etc

Minha opiniao pessoal e' que as pessoas se interessam por virus de computadores da mesma forma que curtem assistir filmes de guerra e colecionam armas de fogo ou facas. O fato de que a pessoa coleciona virus de computador ou cria novos especimes nao indica uma vontade de distribuir seus "rebentos" para o publico em geral.

Virus benignos:

---------------

Existem. Um deles e' o KOH, criado por King of Hearts, um hacker mexicano. Ele e' um virus que criptografa tudo, de acordo com uma senha escolhida pelo usuario. Desenvolvido com o algoritmo IDEA, e' teoricamente dificil de ser "quebrado". O utilizador desse virus pode "pedir" ao virus para nao infectar disquetes ou disco rigidos e controlar sua acao, portanto. Usa tecnicas "stealth" e e' invisivel

portanto a antivirus, podendo mesmo ajudar a evitar alguns tipos de virus.

Outro, compacta, a semelhanca do programa PKLITE, todo e qualquer arquivo executavel que "infecta". O unico virus que "reduz" o espaco fisico que "ocupa". Sem prejudicar os programas que compacta.

Emuladores de virus

-------------------

Sao programas que simulam a acao de virus de computador, para treinamento ou diversao (a custa dos outros). Existe um, antigo, que faz aparecer umas aranhas na tela que "comem" todas as letras do texto digitado. Outro exibe mensagens de erro, com os seguintes dizeres:

1- Erro tal. Sua Winchester esta' cheia de agua.

2- Barulho de Winchester "inundada" aparece no alto-falante do micro.

3- O sistema operacional avisa que vai centrifugar o disco rigido para tirar a agua. Barulho de centrifugacaono alto-falante do micro.

4- Volta o sistema ao normal.

Durante esse tempo todo, nada aconteceu com o seu micro. O teclado ficou travado, mas nenhum arquivo foi deletado,nem mudado de lugar. Mas quem nao conhece o dito fica em panico, e se e' o usuario "TAO" (aquele que aperta bo"TAO"de reset com a ideia de que vai ganhar presente depois), e' capaz de desistir de aprender computacao.

Mais util e' o Virsim2, um emulador de virus feito especialmente para treinar gente no combate a antivirus.O programa produz arquivos inofensivos (que sao detectados como se fossem infectados por diferentes tipos de virus,ver sessao sobre o funcionamento do Scan). Tambem e' capaz de "infectar" um disquete com um boot virotico (que não infecta o disco rigido ou outros disquetes) ou simular o efeito de um virus na memoria. A instalacao do programa e' sofisticada, com uma voz (em ingles) explicando o que o programa esta' fazendo no momento, e isso funciona sem placa sound-blaster.

Engracado e' que em algumas firmas onde este programa foi usado constatou-se que nenhum dos arquivos ficticios infectados foi encontrado pelos funcionarios.

Constatou-se uma apatia total pelo uso de programas anti-virus (ja' que nao havia virus, nao havia medo de virus, entao nao havia uso dos programas anti-virus instalados).

Revistas e fontes de informacoes para estudiosos de virus:

----------------------------------------------------------

Existem. De um lado a Virus Bulletin, publicada na Inglaterra

uma das maiores autoridades no assunto, mas e' paga (75 Libras)

anuais, creio. Existe o Virus Bulletin da Datafellows, que e'

disponivel via ftp e WWW. Faz parte do lancamento de cada

nova versao do antivirus F-Prot. Contem bastante material

interessante. O unico problema e' que a enfase sao de virus

Nordicos, o que e' compreensivel, ja' que o programa vem

de la' (por sinal e' bastante bom e atualizado regularmente).

A revista argentina Virus Report tambem e' uma excelente fonte

de informacao sobre tudo o que diz respeito a virus e seguranca

eletronica. E' a revista dos hackers argentinos e patrocinou

recentemente um encontro internacional, do qual participei com

uma palestra sobre ensino a distancia, trabalho feito pela

ESCOLA DO FUTURO.

Em Buenos Aires haviam mais duas ou tres revistas sobre virus

de computador em formato eletronico, mas nao tive chance de

conseguir nenhuma copia.

Atraves da Internet e' possivel se conseguir, no sitio ftp

do Cert, os arquivos Factory.zip, Virus.101-4, e o VSUM

fontes quase basicas de informacoes sobre virus. O arquivo

Factory.zip delinea a mecanica de funcionamento da fabrica

de virus na Bulgaria, pais responsavel por abrigar progra-

madores que muito contribuiram para os problemas do mundo

ocidental ate' bem depois da queda do muro de Berlin.

Lendo esse arquivo sabemos a origem do virus DIR-II e de

outros.

Existem varias revistas que ensinam tecnicas de fabricacao de

virus e manuseio. As mais conhecidas sao a 40hex, a NUKE, e a

CriPT, mas se nao me engano esporadicamente pode-se encontrar

artigos sobre essas tecnicas na Phrack, NIA e CUD. Existe

tambem um arquivo denominado Hack-report, com um relato de

quais sao os ultimos cavalos de troia e bombas-logicas que

estao sendo distribuidos ate' a publicacao do artigo. Uma

das primeiras revistas sobre o assunto foi a CPI - Corrupted

Programming International, que tinha ate' mesmo exemplos

de listagem em Assembly, Turbo Pascal, Basic e Batch File

Programming, pra mostrar que qualquer linguagem pode produzir

estas monstruosidades. Alguem escreveu um livro aproveitando

isso, aqui no Brasil, mas acho que nem em sebo se encontra.

A revista 2600 e a HACK-TIC tambem as vezes publicam artigos

sobre isso, so' que em papel.

Os grupos de discussao na Internet V-alert e Comp.virus sao

bastante uteis p. alertas sobre novos virus e discussao de

outros recentes ou nao. Seu FAQ (Frequent Answered Questions)

texto e' uma excelente fonte p. quem nao conhece muito sobre

o assunto. Vasselin Bontchev, seu moderador e' uma das maiores

autoridades no assunto.

Ouvi dizer que existem um grupo de discussao IRC que trocam

dicas on-line sobre fabricacao de virus na Internet, mas nao

conheco maiores detalhes.

Nomenclatura de virus:

----------------------

Nao existe uma convencao sobre o assunto. Enquanto os fabri-

cantes de virus costumam trocar dicas e ideias, os fabricantes

de antivirus normalmente se fecham em si, cada qual defendendo

o seu mercado. O que e' Athenas para o Scan da Mcafee Software,

e' Trojector para o F-Prot do Friedriek Skulasson. O maior

documento, e em formato hipertexto, sobre virus, e' o VSUM,

produzido pela Patricia Hoffman. Como parece que ela recebe

dinheiro da Mcafee, ou porque sua descricao e' duvidosa (nao

sei o porque na verdade), o fato e' que este documento nao

e' aceito pela comunidade de pesquisadores anti-virus. Pelo

menos nao o e' na sua totalidade. Existem vozes discordantes.

Num de seus boletins, a firma que produz o F-Prot

conta tudo sobre como elabora a nomenclatura de seus virus,

mas se trata de uma leitura chata. O "nosso" virus Brazil

nao aparece na lista deles nem do Scan como tal, por exemplo.

Ja' um virus chamado Xuxa, muito raro (parece que foi escrito

so' p. fins de divulgacao) e' chamado como tal.

As vezes, o virus e' nomeado por se tratar de uma

modificacao de outro ja' existente ou pelo programa que o

produziu (como acontece com os virus produzidos com a

ajuda do VCL - ver os kits de producao de virus). As vezes

o virus contem um sinal (ele tem que saber como identificar

um arquivo virotico, p. nao infectar repetidas vezes o mesmo

arquivo) e esta caracteristica "batiza" o virus.

Programas "falsos":

-------------------

Algumas vezes, aparecem "ultimas versoes" ou versoes "desprote-

gidas" de softwares muito utilizados. O sujeito copia, usa em

casa, e .. descobre que o software e' na verdade um programa

de formatacao fisica de Winchester disfarcado de outra coisa.

Esse e' o tipo de virus classificado como "cavalo de troia" ou

"bomba-logica".

Na Viegas BBS havia alguns programas do genero, inclu-

-sive um "Norton Virus Detector", antecipando em alguns anos

a producao do programa antivirus do Norton. Esse tipo de fal-

sificacao aconteceu muito com o Scan, o Pkzip e acho que ate'

com o Arj. O programa na verdade instalava um virus ou fazia

alguma coisa ruim com os dados da winchester.

Um caso que deu muito o que falar foi o do "AIDS-virus".

Era um programa com informacoes sobre a AIDS. O sujeito respon-

-dia algumas perguntas, recebia alguma informacao geral sobre

o virus (biologico) e tudo bem. So' depois descobria que todos

os nomes, todas as extensoes de arquivo, tudo o que estava na

Winchester havia sido alterado. A seguinte mensagem aparecia:

"It is time to pay for your software lease from PC Cyborg

Corporation. Complete the INVOICE and attach payment for the lease

option of your choice.If you don't use the printed INVOICE, then be

sure to refer to the important reference numbers below in all

correspondence.

In return you will recieve:

- a renewal software package with easy to follow,

complete instructions;

- an automatic, self installing diskette

that anyone can apply in minutes."

Isso podia ser uma propaganda contra software pirata,

mas na verdade o software foi distribuido gratuitamente como

brinde numa convencao internacional sobre AIDS e tambem numa

revista de informatica tipo PC-Qualquer coisa.

Como ja' foi dito acima, a unica forma de prevencao

contra esse tipo de programa e' um software chamado CHK4BOMB,

disponivel no subdiretorio virus de qualquer "mirror" do

Simtel20. Ainda assim nada realmente e' capaz de garantir que

um programa e' ou nao um "cavalo-de-troia".

Laboratorios de fabricacao de virus:

------------------------------------

Existem programas feitos especificamente com o proposito de

auxiliar iniciantes na arte de fabricar virus sofisticados.

Sao os "Virus Construction Tools". Existem bibliotecas de

rotinas prontas que podem tornar um virus simples polimor-

fico (mais dificil de detectar) sem grande dificuldade p.

o programador. E programas que fazem o servico completo

ao gosto do "inteligente" que quiser construir seu proprio

"monstro".

O primeiro foi o GENVIR, construido e distribuido na

Franca. Lancado como uma especie de Shareware, e' cheio de

menus, mas na hora de produzir o virus ele para. Para receber

uma copia que realmente faca o trabalho, a pessoa deveria

enviar 120 francos para um endereco na Franca.

Um grupo alemao o "Verband Deutscher Virenliebhaber"

escreveu o VCS (Virus Construction Set). Esse incorpora um

texto escolhido pelo usuario num virus simples, que apos

se reproduzir um numero x de vezes, deleta os arquivos de

configuracao, como AUTOEXEC.BAT e CONFIG.SYS.

Outros kits mais "completos" e "sofisticados" sao

o VCL (Virus Construction Laboratory), o PS-MPC (Phalcon/

Skism - Mass Produced Code Generator), o IVP (Instant Virus

Production Kit) e o G2 (G ao quadrado). Alguns chegam a

produzir virus com caracteristicas avancadas, como cripto-

grafacao e otimizacao de codigo virotico(!). Como os fabri-

cantes de antivirus tambem se mantem atualizados, os pro-

gramas antivirus sao atualizados de forma a detectar

os virus produzidos por esses laboratorio.

Algumas crendices:

------------------

Contaminacao por Modem de computador:

------------------------------------

Nao existe. Pode-se conseguir um numa BBS ou com um amigo

atraves da copia de um programa infectado, mas e' tecni-

camente impossivel um micro infectar outro atraves do uso

de modem.

Contaminacao por cima da etiqueta de protecao:

---------------------------------------------

Tambem impossivel. O que pode ter acontecido e' a infeccao

ter sido descoberta depois da colocacao da etiqueta, coisa

que acontece com virus "stealth". Essa trava impede a

gravacao no disquete e isso funciona a nivel de hardware,

nao de software.

E' necessario formatar todos os disquetes para se livrar

do virus XXXX--------------------------------------------------------

Nem sempre. Tudo depende de se ter ou nao o "disquete de

sistema limpo de virus". Com ele e' possivel so' apagar

os programas infectados e evitar esse trabalho. De acordo

com a minha experiencia e' possivel usar uma ferramenta

como o PCTOOLS ou o XTREE para "salvar" os arquivos

de dados, sem aumentar a transmissao. Em alguns casos

pode ser mais facil formatar e re-instalar tudo do que

fazer a limpeza, mas nem sempre.

So' software pirata contem virus

--------------------------------

Nem sempre. O Michelangelo foi distribuido pela primeira vez

dentro de 20.000 disquetes distribuidos por uma firma de

computacao a seus usuarios. O computador que fazia as copias

estava infectado. Houve tambem o caso de um programa

famoso de Desktop Publishing cujos disquetes-matriz foram

infectados na casa do sujeito encarregado de dar uma ultima

olhada, resultando que toda a producao foi infectada.

Calendario de Virus:

--------------------

Essa e' uma favorita da imprensa. Nao se fazem mais as

reportagens sobre supersticao na Sexta-feira 13 (como

antigamente). Mas com certeza se fazem reportagem sobre

o virus Sexta-Feira 13 e o problema dos virus que tem

dia certo para ativar.

A maior incidencia de virus no Brasil, de acordo com

bate-papos com gente que faz acessoria de informatica

sao de virus como o Stoned, o Michelangelo, o Jerusalem,

o Athenas (trojector) e ultimamente o Freddy. Aqui e

ali ocorrem surtos de alguns virus novos, como o GV-MG

e o Daniela.

Desses, so' um ou dois tem ativacao por dia do ano.

O Michelangelo, 6 de Marco, e o Sexta-Feira 13. O pro-

-blema e' que se a pessoa for esperta e fizer uma

check-up regular no micro, com qualquer programa como

o Vshield ou Vacina (ate' mesmo o MSAV do Dos 6.2 e'

o suficiente para isso), ira' descobrir o intruso.

Para se ter uma ideia, existem versoes modificadas

tanto do sexta-feira 13 como do Miguelangelo, que

detectam quando o dono do micro desligou para "evitar"

o dia fatidico. Funcionam no dia ou na semana seguinte.

Virus "Good Times"

------------------

Esta e' aconteceu na Internet, mas nao duvido que tenha

acontecido tambem em BBSes por ai' afora. Era um aviso

sobre um virus que apagava tudo no disco rigido, veicu-

lado em correio eletronico. Funcionava como uma daquelas

correntes da felicidade. O sujeito recebia o aviso e

re-enviava para todo mundo que conhecia, e esses tambem

re-enviavam.

O efeito do virus foi "torrar" a paciencia e ajudar a

encher o correio eletronico (em alguns servicos de BBS

paga-se por quantidade de correspondencia recebida) de

muita gente. Depois veio uma segunda onda, a daqueles

que avisavam que o virus nao existia.

Voce sabia que eh possivel voce pegar virus de macro via internet???

Sim... Virus de macro... Web Virus... Voce tambem pode colocar virus em sua

Home Page, etc... para fuder os lamers gays que entram nela, ou colocar numa

pagina que voce hackeou por exemplo... Sabe... Entao aqui vou mostrar alguns

Scripts e macros em HTML, para voce usar como WEB Virus em sua HP!

a) Fica sem parar de abrir a mesma home page, e nao adianta cancelar!!!

------------------------------------------------------------------------

----------------------------------------------------------------------------

Nao para de exibir uma mensagem na tela, que quando clicada, esta continua

aparecendo, e soh sai se o cara resetar o CPU!

Muito bom pra colocar em HPs e usar em WEBs Chats! dAnGeR!

----------------------------------------------------------------------------

Bomba, que qd o lamer clica no botao ela abre trinta janelas do NETSCAPE ou

Browser, depois mais 30 janelas, mais trinta... etc... essa eh realmente boa

para usar nos WEBS chats (mandic, uol (folha), etc)!

----------------------------------------------------------------------------

Bem, aqui vao alguns SCRIPTS e como fazer para usa-los em HTML CHATS!

Pode ser usados nos chats do UOL, MANDIC, etc...

voce sabe que os HTMLs chats atuais aceitam comandos HTM, nao? Para

poder mandar imagens, etc... entao, voce tbem pode mandar macro virus!!!

Bem, depois de conectar na internet e entrar na URL e na sala do chat

desejada... voce pode ter as opcoes como no exemplo abaixo:

NETSCAPE - INCREDIBLE CHAT


1. Crie um vírus não detectável

Talvez muitos de vcs possuem em seus computadores, algum tipo de codigo de

virus famoso, como por exemplo o Trojector. Talvez tambem, algum dia vc decida

dar vida ao dito cujo, mas percebe que qualquer anti-virus merrequinha pode

detecta-lo, o que vc faz? Chorar(vc eh viado)? Não, você lê nossa revista, hahaha

Ta legal, vamos voltar ao papo serio, neste artigo, vc aprendera como TEORICAMENTE vc pode fazer um virus ja conhecido se tornar novamente nao detectavel. Teoricamente, porque as vezes esse tipo de coisas torna-se tao macante que e mais facil criar um novo virus. Se vc ja "pegou" a coisa, vc deve ter compreeendido, que dessa forma vc ira gerar o que nos chamamos de variante, isto eh,se vc alterou o Trojector(que e muito comum) de forma que ele fique novamente indetectavel, vc com certeza criou uma das trilhares de variantes desse virus!

Vamos a parte tecnica à

Para fazer isso vc precisa de algumas ferramentas especiais:

* Norton Utilites (ou qualquer outro bom editor hexadecimal).

* Debug (nao e necessario, mas facilita).

* Turbo (Debugger da Borland.)

1-) Crie um arquivo bite com o Debug. Arquivos bite, sao arquivos usados por

pesquizadores de AV(anti-virus), para fazer os virus contaminarem estes ar-

quivos, que depois serao usados para estudar o virus. Por exemplo, suponha

que vc fez um arquivo bite que possui uma unica instrucao:

INT 20H

E claro que se vc contaminar esse arquivo com um virus, tudo, MENOS O 'INT

20H' formam o virus original! Note que alguns virus nao contaminam arquivos

bite(isso ja foi discutido anteriormente).

Para fazer um arquivo bite, use o Debug ou seu compilador assembler, os co-

mandos abaixo podem ser digitados diretamente no debug, mas eu aconselho que

vc digite tudo abaixo do tracejado e depois use o debug para "compilar" esse

arquivo, dessa forma vc elimina qualquer erro de digitacao. Ok, crie um arqui-

vo chamado BITE1.SCR e nele digite as seguintes linhas:

n BITE1.com ; Criar um arquivo chamado Bite1.com.

a ; Entrar no modo assembler.

int 20 ; Instrucao do programa, apenas termina o programa.

rcx ; Especificar o tamanho do arquivo.

2 ; Tamanho do arquivo.

w ; Grava.

q ; Sai.

ANTES DE CRIAR O ARQUIVO RETIRE TODOS OS COMENTARIOS ACIMA!!

Depois use o Debug para transformar esse arquivo em uma executavel, digite:

DEBUG <>

Isso criar um arquivo de 2 bytes chamado BITE1.COM. Os comentarios e os ';'

devem ser retirados antes de se criar o arquivo!!!

Se vc quiser digitar o nome do arquivo, tudo o que ocorrera eh o termino do

arquivo, visto que a unica instrucao de nosso arquivo e uma "int 20h"->para

terminar a execucao de um programa.

2-) Contamine o arquivo com o virus. Se for um virus de BOOT, de um jeito,

mas vc tem que contaminar esse arquivo de 2 bytes, do contrario, pode esquecer...

CUIDADO PARA NAO CONTAMINAR O SEU HD! Faca a coisa em um disquete!

Nao se esqueca de manter uma copia do Bite1 original(sem o virus!!).

Se for um virus de arquivos Exe, de um jeito de converter seu arquivo BITE1.

COM para BITE1.EXE, NAO BASTA RENOMEA-LO, vc tem de criar um Exe.

3-) Carregue DISKEDIT, que vem com Norton 6.0 (que eu nao tenho.. :-( ) ou o

editor hexadecimal do PCTOOLS ou ainda o Hiew(eu gosto muito pois ele e muito

facil de usar).

Em sua tela vc tera entao o codigo hexadecimal do arquivo infectado.

Agora, ache atraves do editor hex., o meio do arquivo, se ele tem 14k, se

dirija para o ultimo byte, antes de formar 7k. Preencha os 7k em diante

com besteira, como por exemplo 255d (FFh) o caractere de espaco. Agora,

execute o SCAN, se o SCAN detectar o virus, e porque a sequencia da assi-

natura esta entre 1b e 7k, do contrario, a sequencia esta entre 7 e 14k,

simples hein? Dessa forma, basta vc ir "picando" o arquivo que logo logo

vc achara a assinatura. E por isso que antes de alterar os arquivos, e bom

vc ter copias reservas do BITE1.COM limpo(s/ virus) e do contaminado.

Salve e volte para o Dos.

Use o SCAN para procurar pelo virus, nos usamos o SCAN pois ele apenas pro-

cura por assinaturas, e e' isso que nos estamos tentando modificar. Se o

SCAN encontrar o virus, e porque vc ainda nao deletou a string pela qual o

virus e identificado. Entendeu ?

PELO AMOR DE DEUS, TENHA EM MENTE QUE A VERSAO DO SCAN QUE VC IR USAR, DEVE ENCONTRAR O CODIGO DO VIRUS QUE VC ESTÁ TENTANDO ALTERAR, ISTO É, O QUE ADIANTA VOCÊ ALTERAR O CÓDIGO DE VIRUS SE O SEU ANTI-VIRUS NÃO É CAPAZ DE LOCALIZÁ-LO ?!? DESSE JEITO VOCÊ NUNCA IRÁ SABER SE FUNCIONOU POIS O SCAN NUNCA VAI

ENCONTRAR SEU VIRUS NEM O ORIGINAL (O QUE VC ESTA MODIFICANDO).

Por exemplo, quando procura pelo virus Cascata, o SCAN procura por algo pare-

cido como:

EB1DAD1273D1FF121F (Eu achei isso numa revista)

Entao meu caro, vc esta tentando apenas alterar a string que o SCAN usa para detectar seu virus.

Tudo o que vc tem a fazer e ir deletando partes do virus ate que o SCAN nao detecte mais o seu virus alterado. E claro que deletando partes do virus,ele nao ira funcionar(pois o arquivo estara com pau), mas nos não estamos querendo ele funcionando, nos estamos apenas querendo saber que parte do virus e detectada pelo SCAN(por enquanto, he, he, he...)

Em 75% dos virus, a assinatura(os bytes identificaveis pelo SCAN) está nos primeiros 150 bytes do arquivo.

Ok, supunhetemos que vc tenha achado a assinatura, e ela seja algo como:

B8 92 19 B7 21 CD

As assinaturas sao mais compridas, isso e apenas um exemplo...

Volte ao debug, e digite:

DEBUG

E 0100 b8 92 19 b7 21 cd ; Isso e a string achada.

U ; Isso ira converter a string achada para o seu

; codigo assembler original, nesse exemplo, essa

; string eh:

mov ax,1992h

mov bx,21h

int 21h

VC TEM QUE PELO MENOS TER UMA NOCAO DE ASSEMBLER PARA SABER COMO FAZER ESSE TIPO DE COISA.

Use o Turbo Debugger ou o Debug para fazer a seguinte coisa:

Isso e o que vc tem na tela:

mov ax,1992h

mov bh,21h

int 21h

Agora, tente mudar a ordem dos comandos para por exemplo:

mov bh,21h

mov ax,1992h

int 21h

A 'INT 21H' TEM SEMPRE DE FICAR NA ULTIMA LINHA! ISSO EH OBVIO.

Agora, provavelmente o SCAN nao mais ira achar o virus!! FACIL!?!?!!!

You see? You didn't change the way the code functions (THATS IF YOU KNOW

WHAT YOUR DOING!) but you changed the codes id-string for SCAN.

Como o Turbo Debugger nao permite salvar as mudancas, use o Debug para is-

so, entao digite:

DEBUG BITE1.com ; Arquivo com o virus.

a 0122 ; Endereco de onde esta a string achada.

Entao entre com as instrucoes:

mov bh,21

mov ax,1992h

int 21h

w ; Grava.

q ; Sai.

Scaneie o arquivo, se o SCAN nao achou, entao vc conseguiu, caso ele en-

contre, tente alterar essas instrucoes por outros comandos mas de forma

a produzir o mesmo resultado.

OBS.: Isso so funciona para virus nao encriptados, ou em seus mecanismos

de encriptacao(que na maioria das vezes sao scaneados pelos AVs).

Caso vc, e depois roda o SCAN, e modifica algumas partes do codigo ate ele voltar a ser indetectavel.Tenha o código do fonte do virus, a coisa fica bem mais facil, vc

o modifica, compila

0 comentários:

Postar um comentário