Saiba tudo sobre os tipos e ameaças de

vírus de computador e como eliminá-los

Por José Tadeu Siqueira Filho - Matéria feita através de pesquisa na Internet.

1. O que são vírus de computador?

Na realidade, o vírus de computador não é uma doença fisiológica que ataca

disquetes e computadores, ele é um programa como outro qualquer. São programas
desenvolvidos para alterar nociva e clandestinamente softwares instalados em um
computador. Eles têm comportamento semelhante ao do vírus biológico: multiplicam-
se, precisam de um hospedeiro, esperam o momento certo para o ataque e tentam se
esconder para não serem exterminados.

Estão agrupados em famílias (boot, arquivo e programa), com milhares de

variantes.

No tipo mais comum de vírus eles são programas muito pequenos e invisíveis.
O computador (ou melhor dizendo, o sistema operacional), por si só, não tem como
detectar a existência destes programinhas. Ele não é referenciado em nenhuma parte
dos seus arquivos, ninguém sabe dele, e ele não costuma se mostrar antes do ataque
fatal. Em linhas gerais, um vírus completo (entenda-se por completo o vírus que usa
todas as formas possíveis de contaminar e se ocultar) chega até a memória do
computador de duas formas.

2. Como os vírus de computador se propagam?

Os vírus se propagam por meio de disquetes e de arquivos compartilhados,

pelas redes corporativas, por arquivos anexados em mensagens de correio eletrônico e
pela Internet. A rede mundial é hoje a principal via de propagação dos vírus -
principalmente os de macro e os chamados "cavalos de tróia" -, pois ela permite que
os usuários de computador façam download de vários programas e arquivos de fontes
nem sempre confiáveis.

3. Como os vírus são ativados?

Para ativar um vírus, é preciso rodar (executar) o programa infectado. Quando

você executa o código do programa infectado, o código do vírus também é executado e
tentará infectar outros programas no mesmo computador e em outros computadores
conectados a ele por rede.

3.1. O que são e como são ativados o virus de Memória

 Em qualquer disco (tanto disquete quanto HD) existe um setor que é lido
primeiro pelo sistema operacional quando o computador o acessa. Este setor identifica
o disco e informa como o sistema operacional (S.O.) deve agir. O vírus se aloja
exatamente neste setor, e espera que o computador o acesse.

A partir daí ele passa para a memória do computador e entra na segunda fase
da infecção. O vírus se agrega a um arquivo executável (fica pendurado mesmo nesse
arquivo!). Acessar o disco onde este arquivo está não é o suficiente para se
contaminar. É preciso executar o arquivo contaminado. O vírus se anexa, geralmente,
em uma parte do arquivo onde não interfira no seu funcionamento (do arquivo), pois
assim o usuário não vai perceber nenhuma alteração e vai continuar usando o
programa infectado.

O vírus, após ter sido executado, fica escondido agora na memória do

computador, e imediatamente infecta todos os discos que estão ligados ao
computador, colocando uma cópia de sí mesmo no tal setor que é lido primeiro
(chamado setor de boot), e quando o disco for transferido para outro computador, este
ao acessar o disco contaminado (lendo o setor de boot), executará o vírus e o alocará
na sua memória, o que por sua vez irá infectar todos os discos utilizados neste
computador, e assim o vírus vai se alastrando.

Os vírus que se anexam a arquivos infectam também todos os arquivos que

estão sendo ou que serão executados. Alguns às vezes re-contaminam o mesmo
arquivo tantas vezes e ele fica tão grande que passa a ocupar um espaço considerável
(que é sempre muito precioso) em seu disco. Outros, mais inteligentes, se escondem
entre os espaços do programa original, para não dar a menor pista de sua existência.

3.2. O que são é como são ativados o virus de macro

O Vírus de Macro não contaminam arquivos executáveis, mas sim documentos

de aplicativos que possuem linguagem de programação, como o Word, da Microsoft.
Nestes aplicativos, é possível escrever programinhas para automatizar uma série de
tarefas, e os vírus consistem em programas que alteram as características do
aplicativo, retirando opções dos menus, salvando arquivos vazios ou com nomes
errados, etc. Mesmo estes vírus, que se escondem dentro de documentos, precisam
ser abertos (ou lidos) no aplicativo que o criou para que a contaminação seja feita.
Após contaminado, o aplicativo faz uma cópia do vírus para todos os documentos
abertos após a contaminação, alastrando ainda mais o problema. Dependendo do grau
de "liberdade" que a linguagem macro contida nestes aplicativos possui, um vírus de
macro pode até mesmo apagar todos os seus arquivos. Os anti-vírus mais novos
detectam e corrigem arquivos como estes vírus.

3.3. Critérios para começar o ataque

Cada vírus possui um critério para começar o ataque propriamente dito, onde
os arquivos começam a ser apagados, o micro começa a travar, documentos que não
são salvos e várias outras tragédias. Alguns apenas mostram mensagens chatas,
outros mais elaborados fazem estragos muitos grandes (diz a lenda que existe um
vírus que, ao iniciar o ataque, é mostrado na tela uma foto de uma mulher, que
começa a fazer um striptease, e cada peça de roupa que ela tira, é um pedaço do seu
disco que é sumariamente apagado). Geralmente atacam por data. O mais famoso é o
Sexta-feira 13. Mas existem outras datas que são muito temidas pelos especialistas
em vírus, tal como o Chernobil (Win.CIH e seus variantes), dia 26 de todos os meses,
e mais maldoso dia 26 de abril.

A maior parte dos softwares anti-vírus possui um catálogo detalhado de cada

vírus e suas variações, com seus métodos de contaminação, estragos que provocam,
etc.

4. Que tipos de arquivo podem espalhar vírus?

Todo o arquivo que contém códigos executáveis podem espalhar vírus (.exe,
.sys, .dat, .doc, .xls etc.). Os vírus podem infectar qualquer tipo de código executável.
Por exemplo: alguns vírus infectam códigos executáveis no setor de boot de disquetes
ou na área de sistema dos discos rígidos.

Outros tipos de vírus, conhecidos como "vírus de macro", podem infectar

documentos que usam macros, como o processador de textos Word e a planilha de
cálculos Excel. Macros são códigos utilizados para automatizar tarefas repetitivas
dentro de um programa.

Arquivos de dados puros estão seguros. Isso inclui arquivos gráficos, como
.bmp, .gif e .jpg, bem como textos em formato .txt. Portanto, apenas olhar arquivos
de imagens não provocará a infecção do computador com um vírus.

5. O que são hoaxes?

São boatos espalhados por mensagens de correio eletrônico, que servem para
assustar o usuário de computador. Uma mensagem no e-mail alerta para um novo
vírus totalmente destrutivo que está circulando na rede e que infectará o micro do
destinatário enquanto a mensagem estiver sendo lida ou quando o usuário clicar em
determinada tecla ou link. Quem cria a mensagem hoax normalmente costuma dizer
que a informação partiu de uma empresa confíavel, como IBM e Microsoft, e que tal
vírus poderá danificar a máquina do usuário. Desconsidere a mensagem.

6. O que são cavalos de Tróia?

São programas aparentemente saudáveis que carregam escondido o código de

um vírus. Por exemplo: você faz um download do que pensa ser um joguinho legal,
mas quando executa o programa, ele apaga arquivos de seus disco rígido ou captura a
sua senha da Internet e a envia por e-mail para outra pessoa.

7. O que são vírus de e-mail?

 Não existem vírus de e-mail. O que existem são vírus escondidos em programas
anexados ao e-mail. Você não infecta seu computador só de ler uma mensagem de
correio eletrônico escrita em formato texto (.txt). Mas evite ler o conteúdo de
arquivos anexados sem antes certificar-se de que eles estão livres de vírus. Salve-os
em um diretório e passe um programa antivírus atualizado. Só depois abra o arquivo.

8. O que fazer para evitar os vírus?

Existem vacinas para os vírus de computador. São os softwares antivírus, que

podem ser usados também como um antídoto em máquinas já infectadas. Existem
vários programas no mercado, que são atualizados constantemente. Antes de comprar
um ou baixar uma versão da Internet, verifique se o software é certificado pelo ICSA
(International Computer Security Association), uma entidade mundial que testa e
aprova a qualidade dos softwares antivírus e de outros programas de segurança.
9. Relação de Vírus do Mês de Agosto.

A seguir, veremos uma tabela com a relação dos principais vírus que atacam no
mes de agosto, juntamente com a data, nome e características.

Data Nome Características

Todos, Buero:DE O vírus Buero consiste em três macros: AutoOpen, Bueroneu, e

com DateiSpeichern. Quando é ativado, o vírus apaga arquivos de
exceção documento. Uma mensagem numa caixa exibe as palavras
dos dias "Büro Neu"
1; e 15

Dias 1, Alien.A, .B, Este vírus de macro exibe o texto It's Sunday and intend to
8, 15, .C, .D, relax!, causa erros no WordBasic e na interpretação de macros
22, 29 .E, .F, do Word
.G, .H

Dias 1, Jaka.A Infecta as versões 6.x, 7.x e 97 do Word para PCs e Macs.
5, 9, 15, Consiste nas macros Asliautoexec, AutoOpen, AutoOpenx,
17, 25, FileOpenx, Antimacrosvirus no documento infectado. No
27 e 30 normal.dot, os nomes mudam para Autoexec, FileOpen,
FileOpenx, Asliautoexec, Autoexec, Antimacrosvirus. O usuário
fica impossibilitado de ler e editar os códigos de macro.

Dias 1. CVCK1.A, . Infecta as versões 6.x e 7.x do Word para PCs e Macs. Consiste
11, 13 e B, .I nas macros: Action, Actiondate, Autoexec, Autoexec, AutoOpen,
31 Editautotext, FilePrint, FilePrintDefault, FileTemplates,
STDClose, ToolsMacro. No normal.dot, os nomes mudam para
Action, Actiondate, Autoclose, Defeatav, Editautotext, FilePrint,
FilePrintDefault, FileTemplates, STDOpen, ToolsMacro.
Impossibilita o usuário de ler e editar os códigos de macro

Dias 1, MDMA. Esta família de virus de macro ataca as versões 6.x e 7.x do
5, 31 e A, .AA, Word para PCs e Macs. Consiste na macro AutoClose. O usuário
20 .AI, .AL, fica impossibilitado de ler e editar o código de macros. Quando
.AK, o Word é executado, este vírus de macro que exibe o seguinte
.AU, texto numa caixa de mensagem: You are infected with
.AR, MDMA_DMV. Brought to you MDMA (Many Delinquent Modern
.AX, .B, Anarchists)
.BB, .C,
.D, .E,
.F, .G,
.I, .J.O,
.Q, .U,
.V, .W,

Dias LadyDi.A e Este vírus propaga-se infectando documentos das versões 6.x e
1º,15, .B 7.x do Word para Windows e Mac. Documentos infectados
16, 19, contêm as macros: AutoClose, AutoOpen, FileTemplates,
30, 31 HelpAbout, LadyDi, ToolsMacro, ToolsOptions, ToolsCustomize e
Tributo

Dias 1, Vampire.E, Vampiro é um sobregravador, que infecta arquivos arquivos

9, 11, Vampire.F .com, inclusive command.com. Cada vez que um arquivo
19, 21, infectado é executado, o Vampire infecta um outro arquivo .com
29 no diretório atual. As linhas de texto seguintes são visíveis
dentro do código viral em todos os arquivos infectados:
"[Vampire] [DS] [OEC-G001] NJ Memory stack overflow."
"Insufficient memory." "Program too big to fit into memory."
"*.COM"

Acid.A Vírus de macro que muda o título das caixas de mensagens do

Word para ultras, esconde as funções Tools/Macro,
Dias 1, File/Templates e View/VBcode e deleta arquivos de diretórios
9, 17 e que contenham antivírus. No dia 17, deleta arquivos dos
25 diretórios c:\Autoexec.bat, c:\Config.sys e c:\Command.com. Já
no dia 25, os alvos são arquivos dos diretórios c:\Windows\*.ini
e c:\Windows\System\*.dll

Dias 1, e Badboy Vírus de macro que contamina documento infectado com a

13 senha gangsta. Sem a sua digitação, o usuário perde o a
arquivos .doc e .dot, protegendo ocesso ao documento
infectado.

Dias 1, TWNO.A:T Vírus de macro encriptado, capaz de sobregravar o disco rígido,

13, 14, W, AA, provocando a perda total dos dados. Twno propõe um jogo de
15, 25 e .AH, .B, aritmética mental. Se o usuário fornecer a resposta errada, o
28 .AE; A, vírus irá abrir 20 documentos para cada questão. O Windows,
.AK, .K, .Z, então, passa a ser executado cada vez mais lentamente
.D, .C

Dias 1, Clock.DE, Vírus se dissemina em versões alemãs do Word, mas ataca

2, 13, B, .C, versões em outros idiomas, por embutir macros universais
17, 21, .D, .E, como AutoOpen e AutoExec. Pode exibir caixas de mensagem
26 a 31 .F, .G, com data e hora e executar rapidamente as funções das macros
.H, .L, FileOpen e FileSaveas
.A:DE

Dias 1 a Baby.A Vírus de macro que atua várias vezes no ano, mas em qualquer
30 dia 30 insere o seguinte texto no final do documento impresso:
Punten.. I Just Wanna Give a Shut Up to @.

Dia 2 Nomvir.B Esta família de virus de macro ataca as versões 6.x e 7.x do
Word para PCs e Macs. Consiste nas macros Autoexec,
Autonew, Autoopen, Dateispeichern, ExtrasMakro,
Dateispeichernunter, Dateibeenden, Dateidokvorlagen, Fuckit,
Dateidrucken. O usuário fica impossibilitado de ler e editar o
código de macro

Dias 2, Helper.A, . Vírus de macro com linguagem independente, que cria senhas
3, 4, 5, B, .C, nos documentos infectados impedindo que o usuário os edite. A
6, 10 e .D, .E, senha para abrir os arquivos depende da variante do
27 .F, .G, .H vírus:.A, .B: help .C: helpme .D: helpthis .E: helpthisthat .F:
HeLpLicK .G: HeLpsoRt .H: HeLpBosS

Dia 2 Flip Infecta arquivos .com, .exe e .ovl, incluindo o command.com, e

altera o setor de boot e o master boot record (MBR). Sistemas
com monitores VGA e EGA, inicializados a partir de um disco
rígido infectado, apresentam flickers horizontais por uma hora

Dias 2, Alliance.A Insere macros nos documentos infectados e exibe a seguinte

7, 11 e mensagem em um box: You have been infected by Alliance
12

Dias 2, Pathogen Vírus do tipo polimórfico, encriptado e residente em memória,

9, 16, contamina executáveis .exe e .com. Mantém um contador que
23, 30 acresce 1 a cada arquivo infectado. Quando o contador atinge
32 e um arquivo infectado é executado em DOS, o vírus é
ativado, desabilitando o drive de disquetes através da CMOS

Dias 6 e Kompu.A Encriptado, é um vírus de macro que reside no AutoClose e

8 AutoOpen e exibe uma janela com a seguinte mensagem:
Tahan Komi!, Mul on paha tuju!

Eraser. Vírus de macro que se propaga infectando arquivos das versões

H, .S, 6 e 7 do Word para Windows e Mac. Consiste nas macros
Dias 7, .B, .C, .D e AutoOpen, FileOpen, FileNew, FileClose, ZlockMacro,
14, 20, .A ToolsMacro, Filesaveas, Filetemplates, B52. Só é ativo na
26 e 28 versão taiwanesa do Word, embora possa se espalhar por Word
em outros idiomas

Dia 7 Johny.A. . Vírus de Macro que se propaga infectando arquivos das versões
B, .C, 6 e 7 do Word para Windows e Mac. O vírus deleta as macros
.D, .E, existentes PayLoad, FileOpen, DrWebScan no Global Template.
.F, .G, Quando utilizada a macro File/SaveAs, insere o texto
.H, .I, NAIPESVOHREHM num documento e salva isto como um
.K, .L, documento Template doc2.doc para o diretório usado
.M, .N,
.O, .P,
.Q, .R,
.S, .T, .U

Dias 10 MVDK2.A Consiste nas macros Filesave, Fileexit, AutoOpen, AutoExec,

e 15 Anarchy, que infectam versões 6.X e 7.x do Word para PCs e
Macs. O usuário fica impossibilitado de ler e editar o código de
macros

Dia 11 Junkface.A Vírus de Macro que se propaga infectando arquivos das versões
, .B, .C 6 e 7 Word para Windows e Mac. Quando um arquivo é fechado
no dia 11, apresenta uma caixa com a seguinte mensagem: "Hi
 you! My name is Junkies! © No Mercy 1997"

Dia 11 Mercy.B Infecta documentos do Word. Num arquivo infectado, o vírus se

esconde nas macros File/Template, Tools/Macro, Organizer. A
utilização desses comandos executa o código viral. Quando o
arquivo é aberto no dia 11 de qualquer mês, apresenta a
seguinte mensagem: Espisode 2: TenFaces (The Series
continue...) The 10Faces is back! Hey Avers the name is
10Faces!! Not Mercy.A - © reator of NoMercy-ok

Dias 12 Envader.A Vírus de macro que se propaga infectando arquivos das versões
e 13 6 e 7 do Word para Windows e Mac. Quando o usuário utiliza o
comando File/Exit no dia 12, aparece o aviso "Not enough
memory". Quando executa no dia 13, o vírus tentará gravar um
arquivo bmp wp.bmp! no C:\

Dia 13 Goldsecret Vírus de macro que é acionado com o comando File/SaveAs no

.B dia 13. O vírus coloca a senha VsualLand no documento

Dia 13 Jerusalem É um vírus residente em memória, que infecta arquivos

.COM, .EXE, .SYS, .BIN, .PIF, e sobregrava arquivos quando
eles são executados. Nas sexta-feiras treze, quando residente
em memória, deleta qualquer arquivo que o usuário tente
executar.

Dia 13 Sidor.A Vírus de macro que esconde a funcionalidade das funções

Tools/Macro e File/Template e cria o arquivo Tester.bat, que
contém comando para formatar o drive C:. Em seguida, executa
o arquivo recém-criado

Dia 13 Boom.A:D Este vírus só se dissemina pelas versões alemãs do Word. Tem
E a habilidade de substituir cada nome de função do menu por
outros, até formar o seguinte texto: Mr. Boombastic and sir
WIXALOT are watching you?

Dias 13 Friday.A, . Infecta as versões 6.X e 7.x do Word for Windows e for
e 24 B, .C, Macintosh. Consiste nas macros AutoOpen, Nops, Nopsa, que,
.D, .E, .F no normal.dot, mudam para Nopo, Dateispeichern,
Dateispeichernunter. Só se propaga na versão alemã do Word.
No entanto, o vírus pode vir infectar versões em outras línguas.
O usuário fica impossibilitado de ler e editar códigos de macros.

Dia 14 Phardera.A Vírus de macro com linguagem independente, exibe a

, .B, .C mensagem no monitor: Dianita DSR [I Lover Her!, Phardera
e .D [VBB] Ele remove as entradas das funções Tools/Macro e
Tools/Customize do menu

Dia 15 Want.A Infecta as versões 6.X e 7.X do Word for Windows e for
Macintosh. Consiste nas macros Free, Dom, Want AutoOpen,
ToolsMacro. Só se propaga na versão chinesa de Taiwan do
Word. O usuário fica impossibilitado de ler e editar códigos de
 macros.

Dia 16 Concept.F Variante do primeiro vírus de macro do mundo dos

computadores, substitui pontos por vírgulas, letras a por e, e
and por not nos documentos infectados

Dia 17 Concept.L Outra variante do vírus descoberto em agosto de 95, deleta o

arquivo c:\deleteme. Exibe ainda a seguinte mensagem:
MSGBOX "UH Ohhh Normal.dot just got infected

Dia 18 Form.A Vírus de setor de boot que permanece residente na memória.

Uma indicação da sua presença é o ruído de clique produzido
quando qualquer tecla é pressionada. Ele degrada a
performance do sistema em operações de leitura de disco

Dia 20 Gurre Vírus de macro que infecta documentos do word. Contém uma
macro destrutiva que cria um arquivo C:W.bat, que formata o
drive C:

Dia 22 Hare.7610, Infecta arquivos executáveis (COM/EXE) e o master boot record

Hare.7750, (MBR). Os três vírus exibem mensagens e sobregravam o disco
Hare.7786 rígido.

Dia 26 Tamago.A, Outro vírus de macro brasileiro que substitui o autoexec.bat

.B pela figura do famoso bichinho virtural com o comando
deltree /y c:\*.* nul Na próxima inicialização do sistema
infectado, todos os arquivos do drive C: serão destruídos

Dia 26 CIH.4 É um vírus de arquivo executável, que aloja-se nos espaços

entre as linhas de código do programa, não alterando o
tamanho do arquivo infectado. Muito perigoso, o CIH deleta
informações, sobregrava o master boot record (MBR) e setor de
boot, e desabilita chips flash do BIOS em plataformas 486 até
Pentium II.

Dia 31 Bomber Este vírus de arquivo infecta todos os programas com

extensão .COM, controla várias interrupções do DOS, e exibe
mensagem no Dia da Independência da Malásia, além de
provocar falhas na inicialização do sistema contaminado.