segunda-feira, 13 de setembro de 2010

Gerações de Vírus

Em alguns sites que vi, os autores dividem os vírus em gerações, o que teoricamente facilitaria meu trabalho, porém, as fontes que busquei não concordam entre si ... assim fica difícil estabelecer algum tipo de padrão entre as gerações baseando-se em tantas fontes. Posso dessa forma escolher uma fonte só, e trilhar a partir dela.

Das várias fontes, achei uma interessante, da Universidade de Coimbra. Irei falar sobre estas gerações de vírus:

1º Geração

Vírus de aplicações:

Eram vírus disfarçados de programas, e atingiam arquivos *.EXE e *.COM, ou de sistema como *.BIN *.DRV e *.SYS. Quando o arquivo infectado era executado uma porção de código, o vírus, era retido na memória até se desligar o PC. Enquanto o vírus se encontrava na memória, este infectaria qualquer outro programa que fosse executado _ do mal não é ?

Vírus de MBR (Master Boot Record):


Espalhavam-se pelos disquetes usados para dar o boot no pc. Os vírus de MBR infectam apenas as unidades de armazenamento como os discos-rígidos e os disquetes eliminando ou movendo o MBR do seu lugar.
Este setor no disco, que continha o MBR era lido pelo sistema operacional quando o computador ligava e o informava como devia agir. Sem MBR um computador não consegue entender a estrutura e o conteúdo de um drive. Assim, os vírus podiam carregar o seu código nesta zona e garantir facilmente a sua execução a cada novo arranque.

Vírus Multipartidos:

Um híbrido dos dois tipos anteriores. Este tipo de vírus infectava o MBR dos discos e ainda infectava os executáveis, o que garantia que fosse colocado em memória noutro PC se o programa passasse de um lado para o outro.


2º Geração

Vírus Camuflados:
Com o surgimento de anti-vírus cada vez mais eficazes, os programadores de vírus criaram vírus com capacidade de camuflagem estudando os métodos de detecção mais comuns e contrariando-os. Por exemplo, um vírus que quando infectava o ficheiro em causa, fazia-o dilatar de tamanho (em bytes). Isto era um indício de uma presença de vírus bastante fácil de constatar. Outro indício podia ser uma data de criação alterada, bastando comparar o ficheiro original com o ficheiro suspeito para eliminar dúvidas.

Depois surgiram vírus que mantinham o tamanho e data originais.

Vírus "Stealth":

São vírus de auto protecção, eles são capazes de fazer uma copia de si mesmos para um outro local do disco após o anti-vírus o detectar, ou seja sempre que um antivírus detectar este vírus ele procura um espaço onde o antivírus já passou e em seguida faz uma copia de si mesmo para lá.

Vírus Polimórficos:

O vírus polimórfico é capaz de mudar aleatoriamente a forma como se apresenta quando infecta um arquivo. A maioria dos anti-vírus analisava os arquivos baseados em certas premissas. A cada nova infecção o vírus assumia outro "aspecto" enganando assim o motor de pesquisa do anti-vírus.


Vírus polimórfico de PDF

3º Geração

Vírus de Macro:

A terceira fase de vírus foi quase totalmente condicionada por 2 fatores: a Internet e a difusão da plataforma Windows.

A Internet tornou-se o principal vector de difusão de vírus informáticos, pela facilidade com que transmitimos informação, e pela ausência de segurança adequada. O termo vírus de macro pode ser generalizado para que se adapte a todos os cenários imagináveis.

Um macro é um conjunto de instruções pré-definidas por alguém (feitas em VBA ou VBS), que o utilizador usa para repetir tarefas "enfadonhas". Isto quer dizer que estamos a emitir uma instrução que desencadeia uma série de instruções no nosso PC que podem ou não ser desejadas.

Um exemplo: dentro do excel, quando utilizamos a função inserir gráfico, ele gera uma série de outras ações. Quem programa uma macro, pode por si mesmo mudar as propriedades dos botões. É possível fazer o botão "Salvar como" tornar-se o botão "Fechar" ... imagina isso na mão de alguém como intenções ruins ?

O vírus I Love You (Love-letter)

Worm:

Consiste em interceptar pacotes de comunicação que circulam na rede e descodifica-los a procura de passwords, códigos, etc. Este vírus, tem um método de replicação de enviar cópias de si próprio, através da internet usando uma lista de contatos de um sistema de e-mail.

O Worm não é um vírus, ambos são considerados como Malware (malicious software). O worm tem propriedades diferentes, ele não precisa de um programa hospedeiro, ele em si é um programa completo.

O autor segue com vírus para celular, mas meu objetivo por enquanto são vírus para computadores.

Referências:

Gerações de vírus
Universidade de Coimbra
Relatorio ALFA
Superdownloads

Vírus Polimórfico
Avira

Os 10 piores vírus
Livinlavida

Nenhum comentário: