copias dele. Para o publico em geral qualquer programa que apague dados, ou atrapalhe o trabalho pode levar a denominacao de virus. Do ponto de vista de um programador, o virus de computador e' algo bastante interessante. Pode ser descrito
como uma programa altamente sofisticado, capaz de tomar decisoes automaticamente, funcionar em diferentes tipos de computador, e apresentar um indice minimo de problemas ou mal-funcionamento. Stephen Hawking se referiu ao virus de computador como a primeira forma de vida construida pelo homem. De fato: o virus e' capaz de se reproduzir sem a interferencia do homem e tambem de garantir sozinho sua sobrevivencia. Como a auto-reproducao e a manutencao da
vida sao para alguns cientistas, o basico para um organismo ser descrito como vivo. O virus Stoned e' um exemplo que resiste ate' hoje, anos depois da sua criacao. Sendo o virus um programa de computador sofisticado, ainda que use tecnicas de inteligencia artificial, ele obedece a um conjunto de instrucoes contidas no seu codigo. Portanto e' possivel se prevenir contra seu funcionamento,
conhecendo seus habitos. Bomba Logica e Cavalo de Troia
------------------------------
O cavalo-de-troia se assemelha mais a um artefato militar como uma armadilha explosiva ou "booby-trap". O principio e' o mesmo daquele cigarro-explosivo ou de um daqueles livros que dao choque. Nao se reproduz. A expressao
cavalo-de-troia tambem e' usada para com programas que capturam senhas sem o conhecimento do usuario. O criador do programa pode usufruir da senha de acesso capturada. Um exemplo de bomba-logica e' um arquivo texto "armadilhado"
que redefina o teclado ao ser lido pelo comando TYPE. Em um exemplo classico, o sujetio digita:
C:\> type carta.txt
Os codigos acrescentados ao texto alteram a tecla x (ou qualquer tecla, nao importa) de forma que, ao inves de escrever x na tela ela aciona uma macro que ativa a formatacao do disco rigido.
Existe um software, chamado CHK4BOMB, disponivel no subdiretorio msdos/virus de qualquer "mirror" do Simtel20 que ajuda a detectar a existencia desse tipo de programa. Os antivirus comuns dificilmente detectam, a nao ser em casos mais famosos.
Modus Operandi
--------------
Ate' algum tempo atras, os virus se dividiam em dois grupos principais:
Virus de disco - ex: Stoned, Michelangelo, Ping-Pong
----------------------------------------------------
Infectam o BOOT-SECTOR. Esta e' a parte do disco responsavel pela manutencao dos arquivos. Da mesma forma que uma biblioteca precisa de um fichario para saber onde se encontram os livros, um disco precisa de ter uma tabela com o endereco dos dados armazenados. Qualquer operacao de entrada e saida (carregamento ou salvamento de um arquivo, por exemplo), precisaria do uso dessa tabela. Salvar ou carregar um arquivo num disquete infectado possibilitaria a
ativacao do virus, que poderia infectar outros disquetes e
o disco rigido.
Virus de Arquivo - ex: Jerusalem, Athenas, Freddy
-------------------------------------------------
Infectam arquivos executaveis ou de extensao .SYS, .OVL, . MNU, etc. Estes virus se copiam para o inicio ou fim do arquivo. Dessa forma, ao se chamar o programa X, o virus se ativaria, executaria ou nao outras tarefas e depois
ativaria o verdadeiro programa.
Atualmente existem uma terceria e quarta categorias
Virus Multi-partite- ex: Whale, Natas
-------------------------------------
Infectam tanto o disquete quanto os arquivos executaveis.
Sao extremamente sofisticados.
Virus como o DIR-II
-------------------
Alteram a tabela de arquivos de forma a serem chamados antes do arquivo programa. Nem propriamente dito sao FILE-INFECTORS nem sao realmente BOOT-INFECTORS muito menos multi-partites.
Outras caracteristicas e um pouco de historia:
Virus residentes e nao-residentes:
----------------------------------
Os primeiros virus eram de concepcao muito simples e funcionavam como programas auto-reprodutores apenas. O usuario usava o programa infectado, acionava o virus, que infectava todos os outros programas no subdiretorio (virus
cacadores, que procuram programas em outros subdiretorios sao muito bandeirosos) e depois colocava para funcionar o programa (o que o usuario realmente queria usar). Ponto final. Se um programa nao infectado for acionado, ele nao sera' infectado.
Os virus residentes, mais sofisticados permanecem na memoria apos o uso do programa infectado. Portanto podem infectar qualquer outro programa que for chamado durante a mesma sessao de programacao, ate' que o computador seja
desligado. Como o sistema operacional e' basicamente um programa destinado a tornar comandos como DIR, TYPE, etc inteligiveis para os chips do computador, ele se torna objeto de infeccao. Neste caso, toda vez que o computador for ligado, o virus sera' carregado para a memoria, podendo infectar qualquer programa que for usado. A grande maioria dos virus atuais pertence a este tipo de virus.
Quanto a detecção:
Stealth - ex: Athenas, 4096, GenB, etc
--------------------------------------
Um virus, como todo programa ocupa espaco
o programa aumentava de tamanho e alterava a data de gravacao. No caso do virus Jerusalem, por exemplo, o programa "engordava" a cada execucao, chegando a se
auto-infectar ate' tamanhos absurdos.
Para checar se o arquivo estava infectado era so' fazer uma copia do mesmo e acionar esta copia. Depois bastava executar o comando "DIR" e o resultado mostraria que a data, hora de criacao e o tamanho do programa eram diferentes.
Com o 486, isso nao acontecia. Uma vez residente na memoria, o virus checava para a existencia de uma copia sua no arquivo .exe ou .com e restaurava uma data quase identica de criacao de arquivo. Dessa forma, so' um antivirus ou um usuario atento descobria a diferenca. O virus ATHENAS ja' e' algo mais sofisticado. Ele altera tudo de forma a evitar que um Antivirus detectasse a diferenca. Em outras palavras, seria necessario que o virus nao fosse ativado para que fosse detectado. Se o arquivo COMMAND.COM fosse infectado, todos os arquivos .com ou .exe de um disco rigido seriam infectados, cedo ou tarde. O usuario poderia usar o antivirus que quisesse. O virus continuaria invisivel. Dai o uso do adjetivo "STEALTH", do aviao americano invisivel ao radar.
Como alguns desses virus verificam ate' se ja' estao presentes na memoria, o funcionamento do computador nao diminuiria de velocidade o suficiente para alertar o usuario.
OBSERVACAO: Uma vez que o virus Stealth esconde sua presenca de qualquer programa antivirus, uma forma de descobri-lo é justamente guardar um disquete com o programa infectado. Se o programa antivirus do micro "suspeito" de infeccao nao o descobrir a presenca de virus no disquete, entao provavelmente o micro esta' infectado. Isso funciona principalmente com versoes mais novas de um mesmo virus, como o Athenas, o GenB (vulgo Brasil), etc..
Companheiros (Companion)
------------------------
Sao virus que nao infectam programas .exe. Ao inves disso criam um arquivo de extensao .com, cujo o atributo e' alterado para Hidden (escondido). Como o arquivo .Com e' executado antes do .exe, o virus entra na memoria e depois chama o programa. E' facil e dificil de detectar. Por não alterar o programa, escapa a algumas formas de detecção, como a checagem do CRC. Teoricamente um comando DIR teria poder para descobri-lo: DIR /AH mostra todos os arquivos
escondidos. Mas para se ter certeza, so' quando o BOOT e' feito com um disquete limpo de virus, ja' que nada impede de um virus Companion ser tambem Stealth (ou polimorfico, ou multi-partite, tem virus para todos os gostos).
Polimorficos - ex: Natas, Freddy, etc
-------------------------------------
No tempo em que os primeiros antivirus contra o Jerusalem apareceram, alguns "espertos" resolveram criar novas versoes indetectaveis atraves da alteracao do virus. Como o antivirus procura uma caracteristica do virus para dar o alarme, essa modificacao obrigava a criacao de um novo detector de virus. Isso e' bastante comum. Novas versoes de virus sao feitas a cada dia, aproveitando-se esqueletos de antigas versoes, tendo alguns virus gerado verdadeiras "familias" de "parentes", de versoes mais antigas. O proprio virus Michelangelo seria uma versao "acochambrada" do virus Stoned.
A ultima moda (para os projetistas de virus) e' o uso da poliformia. O virus se altera a cada vez que infecta um novo arquivo. Dessa forma o virus cria N variacoes de si próprio. Hipoteticamente, se uma variacoes escapasse ao antivirus, ela poderia re-infectar todos os arquivos novamente.
Retrovirus - ex: Goldbug, Crepate
---------------------------------
Sao virus que tem como alvo antivirus, como o Scan, Clean, CPAV NAV, ou qualquer arquivo que contenha as strings AV, AN, SC, etc no nome. Pode ser o objetivo principal ou paralelo. O Crepate, por exemplo, e' multipartite (infecta tanto o boot como arquivos executaveis). Alguns simplesmente deletam os arquivos que contem o CRC dos programas analisados (uma especie de selo que alguns antivirus, como o NAV, por exemplo, criam: um arquivo onde varias caracteristicas pre-infeccao (tais como tamanho, data, atributos)
ficam armazenadas). Um ou outro anti-virus tem codigo p. desativar anti-virus residentes, como o V-SHIELD e o VACINA e passar desapercebido.
Virus-anti-virus
----------------
Existem virus que se especializam em detectar e infectar arquivos já infectados por outros virus menos sofisticados.
Metodos de deteccao
-------------------
Como vimos anteriormente, os virus mais antigos deixavam rastros que possibilitavam sua descoberta:
Sintomas:
---------
Demora maior na execucao de um programa. O sistema fica mais lento como um todo.
Aumento no tamanho dos programas.
Alteracao na data de criacao do programa. Quando o virus infecta, o programa aparece uma data de criacao recente.
No caso de virus de disco, e' possivel que alguns arquivos do disquete pura e simplesmente desaparecam.
Igualmente o aparecimento de mensagem acusando Bad Cluster em todos os disquetes usados (nao confundir com o que acontece com um disquete de 360k formatado por engano para 1.2 de capacidade). Nos tempos do virus Ping-pong, essa era uma dica de infeccao.
Disquete funciona em PC-XT mas nao funciona
Antivirus alerta para modificacao em seu arquivo (os novos programas antivirus nao funcionam quando sao modificados pela infeccao de um virus). Nao se deve utiliza-los mesmo quando possivel se houver virus na memoria, pois isso infecta todos os arquivos que forem examinados.
Utilizacao de ferramentas como Norton Utilities ou PCTOOLS para visualizacao do setor de Boot mostram modificacoes (so' para quem sabe a diferenca).
Programa Windows deixa de funcionar ou congela repetidamente.
Para se "limpar" um virus
-------------------------
O mais simples e' o uso de um antivirus, como o Scan, NAV, Thunderbyte, ou F-Prot. Cada um destes tem sua propria forma de utilizacao.
Atualmente o Thunderbyte e o F-Prot estao ganhando uma otima reputacao, embora o Scan ainda seja capaz de proezas na limpeza de virus polimorficos, por exemplo. O Norton Antivirus possui em seu pacote um programa denominado Vacina, que, como o VShield (da mesma firma que fabrica o Scan) vigia para a entrada de virus e e' recomendavel. O NAV em si tem os seus defensores, mas alguns o consideram um desperdicio de espaco na Winchester.O F-Prot possui um banco de dados contendo descricoes de virus de computador ja' analisados por eles. A firma edita tambem um boletim sobre virus, disponivel em ftp site e em www, com boas descricoes sobre novos problemas causados por novos tipos de virus. O Scan da MCafee alterou recentemente o formato original de programa. Alguns o consideram mais vulneravel a acao de virus anti-virus (os chamados retro-virus). Ate' a versao 6.2 do DOS existia um antivirus da Central Point junto com o pacote. Gerou um rebulico pela quantidade de falso-positivos (dava alarmes falsos) que gerava, quando usado em conjunto com outros antivirus. Sua eficacia era igualmente reduzida pelo fato de que nao e' facil de atualizar. Novos tipos de virus passariam indetectaveis.
Precaucoes:
----------
Antes de qualquer tentativa de se limpar um micro ou um disco deve-se dar um BOOT com um disquete limpo de virus. Este disquete, se nao existir, deve ser feito em algum outro micro onde o virus nao apareceu, atraves do comando SYS. Apos a copia do sistema operacional para o disquete, copia-se o antivirus para o disquete e coloca-se a etiqueta de protecao. Desliga-se o micro e liga-o novamente como o novo disquete de sistema, (devidamente protegido contra gravacao atraves da etiqueta) no drive A:.Sabendo-se que determinado disquete contem virus de disco, a forma correta de se limpa-lo sem recorrer a antivirus e' atraves do comando SYS do DOS. E' necessario que o disquete tenha espaco suficiente para que o comando funcione, portanto se usa o PCTOOLS ou algum outro programa
copiador de arquivos para copiar os arquivos antes de executar o comando SYS A: ou SYS B:. O ideal e' formatar o disquete.
No caso do disco rigido infectado com virus de disco, e' necessario garantir o salvamento ou o back-up dos dados mais importantes, como:
arquivos de configuracao:
autoexec.bat, config.sys, win.ini, etc
arquivos de dados:
aqueles com os quais voce trabalha desde o ultimo back-up.
Em seguida, usar o comando MIRROR para fazer uma copia do boot sector do disco em disquete (que ficara' infectado, mas podera' ser limpo depois com mais facilidade). Feito isso, pode-se apartir do prompt do DOS no drive C: digitar:
C:\> \dos\fdisk /mbr
Imediatamente se desliga o micro, para evitar reinfeccao. Essa tecnica funciona em muitos casos, mas o inteligente é executá-la tendo inicializado o micro com um disquete limpo de virus no drive a: (nao existe nada melhor). No caso de micro contaminado por virus de arquivo polimorfico(NATAS ou FREDDY), o ideal e' a re-instalacao de todos os arquivos infectados, comecando pelo command.com.
Arquivos texto poderao ser salvos.
Algumas dicas para o SCAN:
Pode-se pesquisar muitos disquetes de uma so' vez com a seguinte linha de comando:
C:\> scan a: /many
Para se evitar o tempo que o antivirus perde checando a memoria:
C:\> scan a: /nomem
Para se ter as instrucoes do Scan e do Clean em portugues existe um arquivo de extensao .msg, disponivel na maioria dos sitios que possuem antivirus. E' so' renomear o arquivo para MCAFEE.MSG e automaticamente o scan adota as mensagens daquela linguagem.
EX:
C:\> ren spanish.msg mcafee.msg
As ultimas versoes do Scan (2.3) tem a lista de virus e oantivirus Clean incorporado.
ex: scan c: /clean
Automaticamente limpa os arquivos infectados
ex: scan /vlist
Exibe uma lista dos virus que esse antivirus detecta (e/ou limpa).
Como funciona um programa antivirus:
-----------------------------------
Pouca gente que trabalha com isso desconhece. Sao tres as principais formas de se detectar a acao de um virus num sistema atraves do programa antivirus.
1) Vigiando a memoria do micro para acao de qualquer novo
programa (quando o virus e' residente, ele ocupa espaco
na memoria e pode ser rastreado atraves de programas como
o CHKDSK ou MEM /c) ou outros sinais de infeccao.
2) Mantendo um arquivo com as caracteristicas do(s) arquivos
antes da infeccao. Assim, como se fosse um policial, ele
ele examina o CRC, a data de criacao do arquivo, o tamanho
e outras caracteristicas cuja alteracao denunciaria acao
indevida.
3) Abrindo cada um dos arquivos passiveis de infeccao e
examinando o codigo do programa. Lembrar que o virus e'
um programa de computador que se copia sem intervencao
humana para outro programa ou boot sector. Um programa
e' composto de as vezes milhares de instrucoes em
linguagem de baixo nivel.
O que o programa anti-virus faz e' ler esse
"texto" dos arquivos executaveis (de extensao .COM,
.EXE ou .OVL, entre outros) e procurar por uma linha
de codigo caracteristica de virus de computador.
O programa, ao encontrar uma semelhanca entre o codigo
do virus e a linha de codigo que ele tem armazenada
na memoria como pertencente a um virus, aciona a
mensagem de alerta para o usuario.
Observacao:
-Alarmes falsos -
Algumas vezes quando o antivirus nao foi bem testado, o programa pode classificar outro programa como infectado, so porque ele encontrou essa parte do codigo, sem que exista nenhum virus no computador (a isso se chama o falso alarme). Esse tipo de busca e' tambem feito na memoria do micro, algumas vezes tambem com o mesmo efeito, sendo famoso o antivirus disponivel com a versao 6.2 do MSDOS. Se fosse usado junto com o antivirus SCAN versao 108 (nao tenho certeza), este emitia a mensagem de que o virus "Protector" estava ativo na memoria (quando na verdade o antivirus e' que estava).
Para se estudar um virus:
-------------------------
Para as almas corajosas que querem, por uma razao ou outra colecionar virus para estudo (atitude que aprovo, desde que o fim seja o de aprender alguma forma de se livrar deles de forma mais facil), aqui vao algumas dicas.
Em primeiro lugar, nunca estudar o virus em um micro
contendo arquivos de outra pessoa com dados valiosos que
possam ser perdidos. Se for usar o seu micro, certifique-se
de que tem todos os arquivos back-up guardados e faca novo
BACK-UP antes do inicio do trabalho.
Segundo lugar. Tenha o virus copiado para um disquete. Isso
e' feito atraves da copia do arquivo infectado para um
disquete. No caso de virus de disco, formatando um disquete
(com sistema operacional, usando format a: /s na linha de
comando).
Terceiro lugar. Tenha um disquete de Boot, limpo de virus a
mao. De preferencia dois, todos com etiqueta.
Quarto: modifique o autoexec.bat no disquete, adicionando o
comando subst da seguinte maneira:
Ex:
subst c: a:
subst b: a:
subst qualquer outro drive a:
Obs: Em teoria isto vai impedir o virus de se propagar para o drive C:, mas o melhor ainda e' desligar a Winchester mexendo na configuracao da BIOS ou via desligamento da placa da winchester.
Feitas essas preparacoes, comeca-se a testar o virus. O ideal e' ter um arquivo de isca, com um codigo simple como esse:
{programa retirado da revista Virus Report - nr 4 pg 4 }
org 100h
code segment
assume cs:code, ds:code
programa proc
inicio:
mov ah, 4Ch
mov al, 0h
int 21h
programa endp
code ends
end inicio
A ideia e' ter um programa cujo codigo nao confunda na hora de examinar. Na verdade, o programa poderia ser bem menor. So' que alguns virus se recusam a infectar programas com menos de 500 bytes. Compilar com o MASM ou TASM.
Havendo tal programa que chamarei de isca, deve-se renomea-lo para isca.xxx antes do inicio das experiencias.Para averiguar o comportamento do virus desenvolvi o seguinte metodo:
1) Antes de ativar o programa infectado
Digitar;
dir isc*.* >> teste.doc
copy isca.xxx isca1.com
arquivo <------------ aciona-se o arquivo virotico
echo "arquivo virotico ativado" >> teste.doc
^
I
(Comando para inserir essa linha no arquivo de registro sem
editor de texto)
2) Uma vez o arquivo ativado ( o virus provavelmente na
memoria)
Digitar:
dir isc*.* >> teste.doc
isca1
echo "isca1.com ativado" >> teste.doc
dir isc*.* >> teste.doc
3) realizar novo boot para tirar o virus da memoria
Digitar:
echo "situacao apos boot" >> teste.doc
dir isc*.* >> teste
Podem ser estudados:
- O aumento do arquivo apos a infeccao
- As diferencas na quantidade de memoria livre existen-
te apos ativacao (usando o CHKDSK e o MEM)
- O tipo de arquivos que infecta e se tem um tempo
de incubacao (tempo durante o qual nada acontece).
- Colocar varios arquivos juntos de uma so' vez,
para se determinar se e' fast-infector.
- Pode ser considerado "Stealth" se conseguir
esconder sua presenca.
Obs: Nao se deve em hipotese alguma executar o Debug com o virus na memoria do micro.
Obs2: O virus pode ser considerado Stealth (furtivo) se as alteracoes no arquivo ficarem visiveis com um boot feito com disquete limpo de virus (no caso de um que ataque arquivos).
Os virus de Boot sao estudados dando-se o boot com um disquete infectado com o mesmo. Usar-se o comando SYS do DOS para se implantar o sistema operacional no disqueteinfectado apagara' o virus no disquete.
Exemplo de descricao de um virus que espalhou muita destruicao, na Universidade de Sao Paulo ( e outros lugares, sem duvida)
---------------------------------------------------------------------
Texto distribuido junto com o programa antivirus anti-brazil virus,
programa de autoria do Prof. Raul Weber
Instituto de Informatica - UFRGS - Brazil
Caracteristicas do "Brasil virus!"
A analise abaixo e' baseada em uma amostra do virus em um disquete de 360k.
Este setor foi enviado por Joseph Max Cohenca, da USP.
1. O virus nao e' detectado por nenhum anti-virus atualmente disponivel
ate' a date de 5 de outubro de 1992. Mais especificamente, o F-Prot 2.05
nao detecta nada, tanto em modo "normal" quanto em modo 'heuristico".
O scan 95b detecta um "Generic Boot Infector", mas isto e' simplesmente
um aviso de que o SCAN nao descobriu no setor de boot o codigo normal
de um disquete DOS. Se isto e' realmente um virus ou algum sistema
operacional "clonado" do DOS, o SCAN nao sabe. Por falta de
informacao a respeito, o CLEAN nao consegue restaurar o disquete.
2. O virus e' um virus de bootstrap, e parece ser inedito, ou seja, ou e'
realmente um virus brasileiro, ou uma copia muito modificada de um virus
ja' existente (como Stoned, Michelangelo ou Disk Killer).
3. O virus usa tres setores do disco (ou disquete). O primeiro setor, que
substitui o boot em disquetes ou o master boot de discos rigidos, contem
o codigo da ativacao inicial do virus, que e' executado quando se liga a
maquina ou se reinicializa ela (por reset ou Ctl-Alt-Del). O segundo setor
contem o codigo do virus que se torna residente, e que e' responsavel
pela propagacao e ataque do virus. No terceiro setor o virus guarda o
setor de boot original.
4. Em discos rigidos, o virus usa para os seus tres setores os setores 1, 2
e 3, do cilindro zero, cabeca zero. (Obs: nestes discos, o setor 1 e' o
masterboot, que contem a tabela de particao). Para eliminar o virus, basta
copiar o setor 3 (a copia do master boot original) de volta para o setor 1.
5. Em disquetes de 360k, o virus usa os setores 0, 10 e 11 (numeracao DOS;
isto significa set.1, cil.0, tr.0 (boot), set 2, cil.0, tr.1 (setor 10) e
set.3, cil.0, cab.1 (setor 11). Os setores 10 e 11 sao os setores finais
do diretorio raiz, e o virus pode causar problemas se existirem muitos
arquivos no diretorio raiz. Para eliminar o virus e restaurar o disquete,
basta copiar o setor 11 para o setor 0.
6. O virus tem a capacidade de infectar outros disquetes (720k, 1.2M e 1.44M),
localizando-se sempre nos dois ultimos setores do diretorio raiz, que tem
baixa probabilidade de serem ocupados pelo DOS.
7. O virus testa sua presenca atraves dos enderecos 01A8 e 01A9 (em hexa)
do setor de boot. Se estes dois bytes forem CF CF, o virus assume que ja'
infectou o disco. Se nao, o virus procede 'a infeccao.
8. O virus, durante sua carga (na inicializacao do sistema), intercepta
unicamente o vetor 13H da tabela de interrupcao do DOS. Esta entrada
realiza os servicos do BIOS de acesso a discos e disquetes.
9. O virus usa tecnicas de invisibilidade (Stealth) para impedir sua
deteccao. Qualquer tentativa de leitura do setor de boot e' interceptada
pelo virus, que devolve o setor original. Assim, para uma analise ser
efetiva, o virus nao deve estar residente na memoria.
10. Ao realizar o seu ataque, o virus escreve "Brasil virus!" na posicao
atual do cursor na tela. Este texto ("Brasil virus!") esta' criptografado
e nao pode ser detectado por um programa editor de disco. Obs: Brasil esta'
escrito com "s" e nao "z".
11. O virus somente infecta discos rigidos (na hora da carga do
sistema) e disquetes no driver A:. Disquetes no driver B: nao
sao infectados. Disquetes sao infectados ao realizar-se operacoes
de leitura sobre os mesmos. Obs: um simples comando de "DIR" e'
suficiente para infectar um disquete.
Os seguintes dados sao preliminares e necessitam de maior analise:
1. Para realizar o ataque, o virus conta tempo apos a infeccao do
disco rigido. Aparentemente, passando-se 120 horas de uso do
computador apos a primeira infeccao, o virus escreve a mensagem
"Brasil virus!" na posicao atual do cursor, apaga as primeiras
trilhas do disco rigido e "congela" o computador.
Um programa especifico para detectar e eliminar o "Brasil virus"
ja' foi desenvolvida pelo Instituto de Informatica da UFRGS e esta'
disponivel por ftp anonimo na maquina caracol.inf.ufrgs.br (143.54.2.99),
diretorio pub/virus/pc, arquivo antibr2.zip.
------------------------------------------------------------------
Porque os virus sao escritos:
-----------------------------
O chamado virus de computador e' um software que sempre capta atencao e estimula a curiosidade. Esta pergunta foi feita na convencao de Hackers e fabricantes de virus na Argentina. A primeira resposta foi:
- Because it's fun. (por diversao, entretenimento)
Outras respostas:
- Para estudar as possibilidades relativas ao estudo de vida artificial (de acordo com a frase de Stephen Hawkind "Os virus de computador sao a primeira forma de vida feita pelo homem"). Esta proposta e' seguida por varios cientistas, incluindo um que pos a disposicao seu virus (inofensivo) para aqueles que estivessem interessados. Existe uma revista eletronica dedicada a isto, chamada Artificial Life e varios livros sobre o assunto. Em suma algo serio.
- Para descobrir se sao capazes de fazer isso ou para mostrarem para os colegas do que sao capazes de fazercom um micro. Testar seus conhecimentos de computacao.
- Por frustracao ou desejo de vinganca. Muitos autores de virus sao adolescentes. Um jovem (inconformado com o fato de que o pai nao esta' afim de comprar aquele kit de multimidia para o seu micro), usa o que sabe para ...
* Esta hipotese e' pura imaginacao. Mas a vontade de sublimar uma raiva atraves de atos de vandalismo existe, como demonstram os pichadores e quebradores de telefones.
- Curiosidade. Algo muito forte, mesmo para aqueles que tem pouco conhecimento de informatica. Uma das melhores formas de se aprender sobre virus e' "criando" um.
- Para conseguir acesso a BBSes de virus. Existem BBSes que possuem bibliotecas de virus e codigos fontes como a Viegas BBS (agora desativada) e outras nos EUA e em outros paises. O usuario podia ter acesso a colecao de virus se fornecesse um novo. Muitos criavam ou modificavam virus ja' existentes p. ter esse acesso (alias
dois tercos dos virus ja' registrados sao resultado desse intento, sendo muitos considerados fracos ou pouco sofisticados, comparados com os originais).
- Para punir aqueles que copiam programas de computador sem pagar direitos autorais.
- Para conseguir fama.
- Fins militares. Falou-se sobre isso na guerra do golfo, para esconder o uso de uma outra arma de "atrapalhamento" do sistema de computadores do inimigo. Ainda assim, os virus p. uso militar sao uma possibilidade.
etc, etc
Minha opiniao pessoal e' que as pessoas se interessam por virus de computadores da mesma forma que curtem assistir filmes de guerra e colecionam armas de fogo ou facas. O fato de que a pessoa coleciona virus de computador ou cria novos especimes nao indica uma vontade de distribuir seus "rebentos" para o publico em geral.
Virus benignos:
---------------
Existem. Um deles e' o KOH, criado por King of Hearts, um hacker mexicano. Ele e' um virus que criptografa tudo, de acordo com uma senha escolhida pelo usuario. Desenvolvido com o algoritmo IDEA, e' teoricamente dificil de ser "quebrado". O utilizador desse virus pode "pedir" ao virus para nao infectar disquetes ou disco rigidos e controlar sua acao, portanto. Usa tecnicas "stealth" e e' invisivel
portanto a antivirus, podendo mesmo ajudar a evitar alguns tipos de virus.
Outro, compacta, a semelhanca do programa PKLITE, todo e qualquer arquivo executavel que "infecta". O unico virus que "reduz" o espaco fisico que "ocupa". Sem prejudicar os programas que compacta.
Emuladores de virus
-------------------
Sao programas que simulam a acao de virus de computador, para treinamento ou diversao (a custa dos outros). Existe um, antigo, que faz aparecer umas aranhas na tela que "comem" todas as letras do texto digitado. Outro exibe mensagens de erro, com os seguintes dizeres:
1- Erro tal. Sua Winchester esta' cheia de agua.
2- Barulho de Winchester "inundada" aparece no alto-falante do micro.
3- O sistema operacional avisa que vai centrifugar o disco rigido para tirar a agua. Barulho de centrifugacaono alto-falante do micro.
4- Volta o sistema ao normal.
Durante esse tempo todo, nada aconteceu com o seu micro. O teclado ficou travado, mas nenhum arquivo foi deletado,nem mudado de lugar. Mas quem nao conhece o dito fica em panico, e se e' o usuario "TAO" (aquele que aperta bo"TAO"de reset com a ideia de que vai ganhar presente depois), e' capaz de desistir de aprender computacao.
Mais util e' o Virsim2, um emulador de virus feito especialmente para treinar gente no combate a antivirus.O programa produz arquivos inofensivos (que sao detectados como se fossem infectados por diferentes tipos de virus,ver sessao sobre o funcionamento do Scan). Tambem e' capaz de "infectar" um disquete com um boot virotico (que não infecta o disco rigido ou outros disquetes) ou simular o efeito de um virus na memoria. A instalacao do programa e' sofisticada, com uma voz (em ingles) explicando o que o programa esta' fazendo no momento, e isso funciona sem placa sound-blaster.
Engracado e' que em algumas firmas onde este programa foi usado constatou-se que nenhum dos arquivos ficticios infectados foi encontrado pelos funcionarios.
Constatou-se uma apatia total pelo uso de programas anti-virus (ja' que nao havia virus, nao havia medo de virus, entao nao havia uso dos programas anti-virus instalados).
Revistas e fontes de informacoes para estudiosos de virus:
----------------------------------------------------------
Existem. De um lado a Virus Bulletin, publicada na Inglaterra
uma das maiores autoridades no assunto, mas e' paga (
anuais, creio. Existe o Virus Bulletin da Datafellows, que e'
disponivel via ftp e WWW. Faz parte do lancamento de cada
nova versao do antivirus F-Prot. Contem bastante material
interessante. O unico problema e' que a enfase sao de virus
Nordicos, o que e' compreensivel, ja' que o programa vem
de la' (por sinal e' bastante bom e atualizado regularmente).
A revista argentina Virus Report tambem e' uma excelente fonte
de informacao sobre tudo o que diz respeito a virus e seguranca
eletronica. E' a revista dos hackers argentinos e patrocinou
recentemente um encontro internacional, do qual participei com
uma palestra sobre ensino a distancia, trabalho feito pela
ESCOLA DO FUTURO.
de computador em formato eletronico, mas nao tive chance de
conseguir nenhuma copia.
Atraves da Internet e' possivel se conseguir, no sitio ftp
do Cert, os arquivos Factory.zip, Virus.101-4, e o VSUM
fontes quase basicas de informacoes sobre virus. O arquivo
Factory.zip delinea a mecanica de funcionamento da fabrica
de virus na Bulgaria, pais responsavel por abrigar progra-
madores que muito contribuiram para os problemas do mundo
ocidental ate' bem depois da queda do muro de Berlin.
Lendo esse arquivo sabemos a origem do virus DIR-II e de
outros.
Existem varias revistas que ensinam tecnicas de fabricacao de
virus e manuseio. As mais conhecidas sao a 40hex, a NUKE, e a
CriPT, mas se nao me engano esporadicamente pode-se encontrar
artigos sobre essas tecnicas na Phrack, NIA e CUD. Existe
tambem um arquivo denominado Hack-report, com um relato de
quais sao os ultimos cavalos de troia e bombas-logicas que
estao sendo distribuidos ate' a publicacao do artigo. Uma
das primeiras revistas sobre o assunto foi a CPI - Corrupted
Programming International, que tinha ate' mesmo exemplos
de listagem em Assembly, Turbo Pascal, Basic e Batch File
Programming, pra mostrar que qualquer linguagem pode produzir
estas monstruosidades. Alguem escreveu um livro aproveitando
isso, aqui no Brasil, mas acho que nem em sebo se encontra.
A revista 2600 e a HACK-TIC tambem as vezes publicam artigos
sobre isso, so' que em papel.
Os grupos de discussao na Internet V-alert e Comp.virus sao
bastante uteis p. alertas sobre novos virus e discussao de
outros recentes ou nao. Seu FAQ (Frequent Answered Questions)
texto e' uma excelente fonte p. quem nao conhece muito sobre
o assunto. Vasselin Bontchev, seu moderador e' uma das maiores
autoridades no assunto.
Ouvi dizer que existem um grupo de discussao IRC que trocam
dicas on-line sobre fabricacao de virus na Internet, mas nao
conheco maiores detalhes.
Nomenclatura de virus:
----------------------
Nao existe uma convencao sobre o assunto. Enquanto os fabri-
cantes de virus costumam trocar dicas e ideias, os fabricantes
de antivirus normalmente se fecham em si, cada qual defendendo
o seu mercado. O que e' Athenas para o Scan da Mcafee Software,
e' Trojector para o F-Prot do Friedriek Skulasson. O maior
documento, e em formato hipertexto, sobre virus, e' o VSUM,
produzido pela Patricia Hoffman. Como parece que ela recebe
dinheiro da Mcafee, ou porque sua descricao e' duvidosa (nao
sei o porque na verdade), o fato e' que este documento nao
e' aceito pela comunidade de pesquisadores anti-virus. Pelo
menos nao o e' na sua totalidade. Existem vozes discordantes.
Num de seus boletins, a firma que produz o F-Prot
conta tudo sobre como elabora a nomenclatura de seus virus,
mas se trata de uma leitura chata. O "nosso" virus Brazil
nao aparece na lista deles nem do Scan como tal, por exemplo.
Ja' um virus chamado Xuxa, muito raro (parece que foi escrito
so' p. fins de divulgacao) e' chamado como tal.
As vezes, o virus e' nomeado por se tratar de uma
modificacao de outro ja' existente ou pelo programa que o
produziu (como acontece com os virus produzidos com a
ajuda do VCL - ver os kits de producao de virus). As vezes
o virus contem um sinal (ele tem que saber como identificar
um arquivo virotico, p. nao infectar repetidas vezes o mesmo
arquivo) e esta caracteristica "batiza" o virus.
Programas "falsos":
-------------------
Algumas vezes, aparecem "ultimas versoes" ou versoes "desprote-
gidas" de softwares muito utilizados. O sujeito copia, usa em
casa, e .. descobre que o software e' na verdade um programa
de formatacao fisica de Winchester disfarcado de outra coisa.
Esse e' o tipo de virus classificado como "cavalo de troia" ou
"bomba-logica".
Na Viegas BBS havia alguns programas do genero, inclu-
-sive um "Norton Virus Detector", antecipando em alguns anos
a producao do programa antivirus do Norton. Esse tipo de fal-
sificacao aconteceu muito com o Scan, o Pkzip e acho que ate'
com o Arj. O programa na verdade instalava um virus ou fazia
alguma coisa ruim com os dados da winchester.
Um caso que deu muito o que falar foi o do "AIDS-virus".
Era um programa com informacoes sobre a AIDS. O sujeito respon-
-dia algumas perguntas, recebia alguma informacao geral sobre
o virus (biologico) e tudo bem. So' depois descobria que todos
os nomes, todas as extensoes de arquivo, tudo o que estava na
Winchester havia sido alterado. A seguinte mensagem aparecia:
"It is time to pay for your software lease from PC Cyborg
Corporation. Complete the INVOICE and attach payment for the lease
option of your choice.If you don't use the printed INVOICE, then be
sure to refer to the important reference numbers below in all
correspondence.
In return you will recieve:
- a renewal software package with easy to follow,
complete instructions;
- an automatic, self installing diskette
that anyone can apply in minutes."
Isso podia ser uma propaganda contra software pirata,
mas na verdade o software foi distribuido gratuitamente como
brinde numa convencao internacional sobre AIDS e tambem numa
revista de informatica tipo PC-Qualquer coisa.
Como ja' foi dito acima, a unica forma de prevencao
contra esse tipo de programa e' um software chamado CHK4BOMB,
disponivel no subdiretorio virus de qualquer "mirror" do
Simtel20. Ainda assim nada realmente e' capaz de garantir que
um programa e' ou nao um "cavalo-de-troia".
Laboratorios de fabricacao de virus:
------------------------------------
Existem programas feitos especificamente com o proposito de
auxiliar iniciantes na arte de fabricar virus sofisticados.
Sao os "Virus Construction Tools". Existem bibliotecas de
rotinas prontas que podem tornar um virus simples polimor-
fico (mais dificil de detectar) sem grande dificuldade p.
o programador. E programas que fazem o servico completo
ao gosto do "inteligente" que quiser construir seu proprio
"monstro".
O primeiro foi o GENVIR, construido e distribuido na
Franca. Lancado como uma especie de Shareware, e' cheio de
menus, mas na hora de produzir o virus ele para. Para receber
uma copia que realmente faca o trabalho, a pessoa deveria
enviar 120 francos para um endereco na Franca.
Um grupo alemao o "Verband Deutscher Virenliebhaber"
escreveu o VCS (Virus Construction Set). Esse incorpora um
texto escolhido pelo usuario num virus simples, que apos
se reproduzir um numero x de vezes, deleta os arquivos de
configuracao, como AUTOEXEC.BAT e CONFIG.SYS.
Outros kits mais "completos" e "sofisticados" sao
o VCL (Virus Construction Laboratory), o PS-MPC (Phalcon/
Skism - Mass Produced Code Generator), o IVP (Instant Virus
Production Kit) e o G2 (G ao quadrado). Alguns chegam a
produzir virus com caracteristicas avancadas, como cripto-
grafacao e otimizacao de codigo virotico(!). Como os fabri-
cantes de antivirus tambem se mantem atualizados, os pro-
gramas antivirus sao atualizados de forma a detectar
os virus produzidos por esses laboratorio.
Algumas crendices:
------------------
Contaminacao por Modem de computador:
------------------------------------
Nao existe. Pode-se conseguir um numa BBS ou com um amigo
atraves da copia de um programa infectado, mas e' tecni-
camente impossivel um micro infectar outro atraves do uso
de modem.
Contaminacao por cima da etiqueta de protecao:
---------------------------------------------
Tambem impossivel. O que pode ter acontecido e' a infeccao
ter sido descoberta depois da colocacao da etiqueta, coisa
que acontece com virus "stealth". Essa trava impede a
gravacao no disquete e isso funciona a nivel de hardware,
nao de software.
E' necessario formatar todos os disquetes para se livrar
do virus XXXX--------------------------------------------------------
Nem sempre. Tudo depende de se ter ou nao o "disquete de
sistema limpo de virus". Com ele e' possivel so' apagar
os programas infectados e evitar esse trabalho. De acordo
com a minha experiencia e' possivel usar uma ferramenta
como o PCTOOLS ou o XTREE para "salvar" os arquivos
de dados, sem aumentar a transmissao. Em alguns casos
pode ser mais facil formatar e re-instalar tudo do que
fazer a limpeza, mas nem sempre.
So' software pirata contem virus
--------------------------------
Nem sempre. O Michelangelo foi distribuido pela primeira vez
dentro de 20.000 disquetes distribuidos por uma firma de
computacao a seus usuarios. O computador que fazia as copias
estava infectado. Houve tambem o caso de um programa
famoso de Desktop Publishing cujos disquetes-matriz foram
infectados na casa do sujeito encarregado de dar uma ultima
olhada, resultando que toda a producao foi infectada.
Calendario de Virus:
--------------------
Essa e' uma favorita da imprensa. Nao se fazem mais as
reportagens sobre supersticao na Sexta-feira 13 (como
antigamente). Mas com certeza se fazem reportagem sobre
o virus Sexta-Feira 13 e o problema dos virus que tem
dia certo para ativar.
A maior incidencia de virus no Brasil, de acordo com
bate-papos com gente que faz acessoria de informatica
sao de virus como o Stoned, o Michelangelo, o Jerusalem,
o Athenas (trojector) e ultimamente o Freddy. Aqui e
ali ocorrem surtos de alguns virus novos, como o GV-MG
e o Daniela.
Desses, so' um ou dois tem ativacao por dia do ano.
O Michelangelo, 6 de Marco, e o Sexta-Feira 13. O pro-
-blema e' que se a pessoa for esperta e fizer uma
check-up regular no micro, com qualquer programa como
o Vshield ou Vacina (ate' mesmo o MSAV do Dos 6.2 e'
o suficiente para isso), ira' descobrir o intruso.
Para se ter uma ideia, existem versoes modificadas
tanto do sexta-feira 13 como do Miguelangelo, que
detectam quando o dono do micro desligou para "evitar"
o dia fatidico. Funcionam no dia ou na semana seguinte.
Virus "Good Times"
------------------
Esta e' aconteceu na Internet, mas nao duvido que tenha
acontecido tambem em BBSes por ai' afora. Era um aviso
sobre um virus que apagava tudo no disco rigido, veicu-
lado em correio eletronico. Funcionava como uma daquelas
correntes da felicidade. O sujeito recebia o aviso e
re-enviava para todo mundo que conhecia, e esses tambem
re-enviavam.
O efeito do virus foi "torrar" a paciencia e ajudar a
encher o correio eletronico (em alguns servicos de BBS
paga-se por quantidade de correspondencia recebida) de
muita gente. Depois veio uma segunda onda, a daqueles
que avisavam que o virus nao existia.
Voce sabia que eh possivel voce pegar virus de macro via internet???
Sim... Virus de macro... Web Virus... Voce tambem pode colocar virus em sua
Home Page, etc... para fuder os lamers gays que entram nela, ou colocar numa
pagina que voce hackeou por exemplo... Sabe... Entao aqui vou mostrar alguns
Scripts e macros em HTML, para voce usar como WEB Virus
a) Fica sem parar de abrir a mesma home page, e nao adianta cancelar!!!
------------------------------------------------------------------------
----------------------------------------------------------------------------
Nao para de exibir uma mensagem na tela, que quando clicada, esta continua
aparecendo, e soh sai se o cara resetar o CPU!
Muito bom pra colocar em HPs e usar
----------------------------------------------------------------------------
Bomba, que qd o lamer clica no botao ela abre trinta janelas do NETSCAPE ou
Browser, depois mais 30 janelas, mais trinta... etc... essa eh realmente boa
para usar nos WEBS chats (mandic, uol (folha), etc)!
----------------------------------------------------------------------------
Bem, aqui vao alguns SCRIPTS e como fazer para usa-los
Pode ser usados nos chats do UOL, MANDIC, etc...
voce sabe que os HTMLs chats atuais aceitam comandos HTM, nao? Para
poder mandar imagens, etc... entao, voce tbem pode mandar macro virus!!!
Bem, depois de conectar na internet e entrar na URL e na sala do chat
desejada... voce pode ter as opcoes como no exemplo abaixo:
NETSCAPE - INCREDIBLE CHAT
1. Crie um vírus não detectável
Talvez muitos de vcs possuem em seus computadores, algum tipo de codigo de
virus famoso, como por exemplo o Trojector. Talvez tambem, algum dia vc decida
dar vida ao dito cujo, mas percebe que qualquer anti-virus merrequinha pode
detecta-lo, o que vc faz? Chorar(vc eh viado)? Não, você lê nossa revista, hahaha
Ta legal, vamos voltar ao papo serio, neste artigo, vc aprendera como TEORICAMENTE vc pode fazer um virus ja conhecido se tornar novamente nao detectavel. Teoricamente, porque as vezes esse tipo de coisas torna-se tao macante que e mais facil criar um novo virus. Se vc ja "pegou" a coisa, vc deve ter compreeendido, que dessa forma vc ira gerar o que nos chamamos de variante, isto eh,se vc alterou o Trojector(que e muito comum) de forma que ele fique novamente indetectavel, vc com certeza criou uma das trilhares de variantes desse virus!
Vamos a parte tecnica à
Para fazer isso vc precisa de algumas ferramentas especiais:
* Norton Utilites (ou qualquer outro bom editor hexadecimal).
* Debug (nao e necessario, mas facilita).
* Turbo (Debugger da Borland.)
1-) Crie um arquivo bite com o Debug. Arquivos bite, sao arquivos usados por
pesquizadores de AV(anti-virus), para fazer os virus contaminarem estes ar-
quivos, que depois serao usados para estudar o virus. Por exemplo, suponha
que vc fez um arquivo bite que possui uma unica instrucao:
INT 20H
E claro que se vc contaminar esse arquivo com um virus, tudo, MENOS O 'INT
20H' formam o virus original! Note que alguns virus nao contaminam arquivos
bite(isso ja foi discutido anteriormente).
Para fazer um arquivo bite, use o Debug ou seu compilador assembler, os co-
mandos abaixo podem ser digitados diretamente no debug, mas eu aconselho que
vc digite tudo abaixo do tracejado e depois use o debug para "compilar" esse
arquivo, dessa forma vc elimina qualquer erro de digitacao. Ok, crie um arqui-
vo chamado BITE1.SCR e nele digite as seguintes linhas:
n BITE1.com ; Criar um arquivo chamado Bite1.com.
a ; Entrar no modo assembler.
int 20 ; Instrucao do programa, apenas termina o programa.
rcx ; Especificar o tamanho do arquivo.
2 ; Tamanho do arquivo.
w ; Grava.
q ; Sai.
ANTES DE CRIAR O ARQUIVO RETIRE TODOS OS COMENTARIOS ACIMA!!
Depois use o Debug para transformar esse arquivo em uma executavel, digite:
DEBUG <>
Isso criar um arquivo de 2 bytes chamado BITE1.COM. Os comentarios e os ';'
devem ser retirados antes de se criar o arquivo!!!
Se vc quiser digitar o nome do arquivo, tudo o que ocorrera eh o termino do
arquivo, visto que a unica instrucao de nosso arquivo e uma "int 20h"->para
terminar a execucao de um programa.
2-) Contamine o arquivo com o virus. Se for um virus de BOOT, de um jeito,
mas vc tem que contaminar esse arquivo de 2 bytes, do contrario, pode esquecer...
CUIDADO PARA NAO CONTAMINAR O SEU HD! Faca a coisa em um disquete!
Nao se esqueca de manter uma copia do Bite1 original(sem o virus!!).
Se for um virus de arquivos Exe, de um jeito de converter seu arquivo BITE1.
COM para BITE1.EXE, NAO BASTA RENOMEA-LO, vc tem de criar um Exe.
3-) Carregue DISKEDIT, que vem com Norton 6.0 (que eu nao tenho.. :-( ) ou o
editor hexadecimal do PCTOOLS ou ainda o Hiew(eu gosto muito pois ele e muito
facil de usar).
Em sua tela vc tera entao o codigo hexadecimal do arquivo infectado.
Agora, ache atraves do editor hex., o meio do arquivo, se ele tem 14k, se
dirija para o ultimo byte, antes de formar 7k. Preencha os 7k em diante
com besteira, como por exemplo 255d (FFh) o caractere de espaco. Agora,
execute o SCAN, se o SCAN detectar o virus, e porque a sequencia da assi-
natura esta entre 1b e 7k, do contrario, a sequencia esta entre 7 e 14k,
simples hein? Dessa forma, basta vc ir "picando" o arquivo que logo logo
vc achara a assinatura. E por isso que antes de alterar os arquivos, e bom
vc ter copias reservas do BITE1.COM limpo(s/ virus) e do contaminado.
Salve e volte para o Dos.
Use o SCAN para procurar pelo virus, nos usamos o SCAN pois ele apenas pro-
cura por assinaturas, e e' isso que nos estamos tentando modificar. Se o
SCAN encontrar o virus, e porque vc ainda nao deletou a string pela qual o
virus e identificado. Entendeu ?
PELO AMOR DE DEUS, TENHA
ENCONTRAR SEU VIRUS NEM O ORIGINAL (O QUE VC ESTA MODIFICANDO).
Por exemplo, quando procura pelo virus Cascata, o SCAN procura por algo pare-
cido como:
EB1DAD1273D1FF121F (Eu achei isso numa revista)
Entao meu caro, vc esta tentando apenas alterar a string que o SCAN usa para detectar seu virus.
Tudo o que vc tem a fazer e ir deletando partes do virus ate que o SCAN nao detecte mais o seu virus alterado. E claro que deletando partes do virus,ele nao ira funcionar(pois o arquivo estara com pau), mas nos não estamos querendo ele funcionando, nos estamos apenas querendo saber que parte do virus e detectada pelo SCAN(por enquanto, he, he, he...)
Em 75% dos virus, a assinatura(os bytes identificaveis pelo SCAN) está nos primeiros 150 bytes do arquivo.
Ok, supunhetemos que vc tenha achado a assinatura, e ela seja algo como:
B8 92 19 B7 21 CD
As assinaturas sao mais compridas, isso e apenas um exemplo...
Volte ao debug, e digite:
DEBUG
E 0100 b8 92 19 b7 21 cd ; Isso e a string achada.
U ; Isso ira converter a string achada para o seu
; codigo assembler original, nesse exemplo, essa
; string eh:
mov ax,1992h
mov bx,21h
int 21h
VC TEM QUE PELO MENOS TER UMA NOCAO DE ASSEMBLER PARA SABER COMO FAZER ESSE TIPO DE COISA.
Use o Turbo Debugger ou o Debug para fazer a seguinte coisa:
Isso e o que vc tem na tela:
mov ax,1992h
mov bh,21h
int 21h
Agora, tente mudar a ordem dos comandos para por exemplo:
mov bh,21h
mov ax,1992h
int 21h
A 'INT 21H' TEM SEMPRE DE FICAR NA ULTIMA LINHA! ISSO EH OBVIO.
Agora, provavelmente o SCAN nao mais ira achar o virus!! FACIL!?!?!!!
You see? You didn't change the way the code functions (THATS IF YOU KNOW
WHAT YOUR DOING!) but you changed the codes id-string for SCAN.
Como o Turbo Debugger nao permite salvar as mudancas, use o Debug para is-
so, entao digite:
DEBUG BITE1.com ; Arquivo com o virus.
a 0122 ; Endereco de onde esta a string achada.
Entao entre com as instrucoes:
mov bh,21
mov ax,1992h
int 21h
w ; Grava.
q ; Sai.
Scaneie o arquivo, se o SCAN nao achou, entao vc conseguiu, caso ele en-
contre, tente alterar essas instrucoes por outros comandos mas de forma
a produzir o mesmo resultado.
OBS.: Isso so funciona para virus nao encriptados, ou em seus mecanismos
de encriptacao(que na maioria das vezes sao scaneados pelos AVs).
Caso vc, e depois roda o SCAN, e modifica algumas partes do codigo ate ele voltar a ser indetectavel.Tenha o código do fonte do virus, a coisa fica bem mais facil, vc
o modifica, compila
0 comentários:
Postar um comentário