<\/p>\n
Sobreescrita<\/h2>\n
Este \u00e9 o m\u00e9todo mais simples de infec\u00e7\u00e3o: O c\u00f3digo do v\u00edrus substitui o arquivo infectado com o seu pr\u00f3prio, excluindo o c\u00f3digo original. O arquivo se torna inutiliz\u00e1vel e n\u00e3o pode ser restaurado. Estes v\u00edrus s\u00e3o facilmente detectados porque o sistema operacional e os aplicativos afetados deixar\u00e3o de funcionar pouco depois da infec\u00e7\u00e3o.<\/p>\n
Parasit\u00e1rio<\/h2>\n
V\u00edrus parasitas modificam o c\u00f3digo do arquivo infectado. O arquivo infectado permanece parcialmente ou totalmente funcional.<\/p>\n
V\u00edrus parasitas s\u00e3o agrupados de acordo com a se\u00e7\u00e3o do arquivo, de onde se escreveu seu c\u00f3digo:<\/p>\n
Anexado no in\u00edcio: o c\u00f3digo malicioso \u00e9 escrito no in\u00edcio do arquivo
\nAnexado no final: o c\u00f3digo malicioso \u00e9 escrito no final do arquivo
\nInser\u00e7\u00e3o: o c\u00f3digo malicioso \u00e9 inserido no meio do arquivo<\/p>\n
V\u00edrus anexados no in\u00edcio<\/h2>\n
Os v\u00edrus anexados no in\u00edcio escrevem seu c\u00f3digo para apontar os arquivos de duas formas. No primeiro cen\u00e1rio, o v\u00edrus move o\u00a0 c\u00f3digo no come\u00e7o (in\u00edcio) do arquivo utilizado para o final e escreve seu pr\u00f3prio c\u00f3digo neste espa\u00e7o. No segundo cen\u00e1rio, o v\u00edrus adiciona o c\u00f3digo do arquivo utilizado a seu pr\u00f3prio c\u00f3digo.<\/p>\n
Em ambos os casos, cada vez que o arquivo infectado \u00e9 executado, o c\u00f3digo do v\u00edrus se executa primeiro. A fim de manter a integridade da aplica\u00e7\u00e3o, pode ser que o v\u00edrus limpe o arquivo infectado, e volte a executar, espera -se que o arquivo se execute e uma vez que se termine este processo, o v\u00edrus copiar\u00e1 a s\u00ed mesmo novamente para o in\u00edcio do arquivo. Alguns v\u00edrus utilizam arquivos tempor\u00e1rios para armazenar vers\u00f5es limpas de arquivos infectados. Alguns virus restauram o c\u00f3digo da aplica\u00e7\u00e3o na mem\u00f3ria e reinicializam os endere\u00e7os necess\u00e1rios do corpo, duplicando, deste modo o trabalho do sistema operacional.<\/p>\n
V\u00edrus anexados no final<\/h2>\n
A maioria dos v\u00edrus enquadram nesta categoria. Os v\u00edrus anexados no final s\u00e3o escritos no final dos arquivos infectados. No entanto, esses v\u00edrus costumam modificar arquivos (mudar o ponto de entrada no cabe\u00e7alho do arquivo) para garantir que as instru\u00e7\u00f5es contidas no c\u00f3digo do v\u00edrus a sejam\u00a0 executado antes das instru\u00e7\u00f5es de objetos infectados.<\/p>\n
V\u00edrus de Inser\u00e7\u00e3o<\/h2>\n
Os criadores de v\u00edrus utilizam uma variedade de m\u00e9todos para inserir v\u00edrus no meio de um arquivo. Os m\u00e9todos mais simples seria mover parte do c\u00f3digo do arquivo para o final do arquivo movendo o c\u00f3digo original para um lado para criar um espa\u00e7o para o v\u00edrus.<\/p>\n
Os v\u00edrus de inser\u00e7\u00e3o incluem os chamados v\u00edrus de cavidade, estes escrevem o seu c\u00f3digo nas se\u00e7\u00f5es dos arquivos que se encontram vasias. Por exemplo, os v\u00edrus de cavidade podem copiar -se em partes n\u00e3o utilizadas de cabe\u00e7alhos de arquivos .exe, nos espa\u00e7os vasios que se encontram entre se\u00e7\u00f5es de arquivos .exe ou em \u00e1reas de texto de compiladores conhecidos. Alguns v\u00edrus de cavidade s\u00f3 infectar\u00e1 arquivos, onde um determinado bloco contenha certo byte, o bloco escolhido ser\u00e1 sobreescrito com o c\u00f3digo do v\u00edrus.<\/p>\n
Por \u00faltimo, alguns virus de inser\u00e7\u00e3o estar\u00e3o mal escritos e simplesmente sobreescrevem se\u00e7\u00f5es de c\u00f3digos que s\u00e3o essenciais para que o arquivo infectado funcione. Isto causa que o arquivo seja corrompido de forma irrevoc\u00e1vel.<\/p>\n
V\u00edrus que ocultam seu ponto de entrada ( Entry point obscuring – EPOs)<\/h2>\n
Existe um pequeno grupo de v\u00edrus parasit\u00e1rios que incluem tanto virus de anexos de in\u00edcio e final que n\u00e3o altera o endere\u00e7o do ponto de entrada dos cabe\u00e7alhos dos arquivos execut\u00e1veis. Os v\u00edrus EPO escrevem o ponto de rotina no corpo do v\u00edrus, e no meio do arquivo infectado. O c\u00f3digo do v\u00edrus \u00e9 executado apenas e somente, se for chamado a rotina que cont\u00e9m o virus execut\u00e1vel. Se esta rotina \u00e9 utilizada rara vez, (ex. uma notifica\u00e7\u00e3o de erro pouco comun) um v\u00edrus EPO pode permanecer inativo por muito tempo.<\/p>\n
Os desenvolvedores de v\u00edrus necessitam escolher o ponto de entrada com cuidado: um ponto de entrada mal escolhido pode corromper o arquivo de host ou fazer com que o v\u00edrus permane\u00e7a inativo o tempo suficiente para exclus\u00e3o.<\/p>\n
Os criadores de v\u00edrus usam m\u00e9todos diferentes para encontrar pontos de entrada \u00fateis:<\/p>\n
- \n
- Estruturas de busca e sobreescrever com o ponto de inicio infectado<\/li>\n
- Desmontar o c\u00f3digo do arquivo host<\/li>\n
- Ou alterar os endere\u00e7os das fun\u00e7\u00f5es de importa\u00e7\u00e3o<\/li>\n<\/ul>\n
<\/p>\n
V\u00edrus acompanhantes<\/h2>\n
Os v\u00edrus de companhia n\u00e3o modificam o arquivo host. Em vez disso, crie um arquivo duplicado contendo o v\u00edrus. Quando o arquivo infectado \u00e9 executado, a c\u00f3pia que cont\u00e9m o v\u00edrus \u00e9 executado primeiro.<\/p>\n
Esta categoria inclui v\u00edrus que mudam o nome do arquivo host, gravar o novo nome para futura refer\u00eancia e, em seguida substituir o arquivo original. Por exemplo, um v\u00edrus poderia mudar o nome para notepad.exe e notepad.exd e escrever seu pr\u00f3prio c\u00f3digo para o arquivo com o nome original. Cada vez que o usu\u00e1rio da m\u00e1quina v\u00edtima executar\u00a0 notepad.exe, se executar\u00e1 o c\u00f3digo do v\u00edrus, executando -se posteriormente o arquivo original Notepad, notepad.exd.<\/p>\n
Existem outros tipos de v\u00edrus de companhia que utilizam t\u00e9cnicas de infec\u00e7\u00e3o originais e exploram vulnerabilidades em sistemas operacionais espec\u00edficos. Por exemplo, os v\u00edrus de companhia de rotas colocam suas c\u00f3pias no diret\u00f3rio do sistema Windows,\u00a0 explorando o fato de que este diret\u00f3rio \u00e9 o primeiro da lista de rotas, o sistema come\u00e7ar\u00e1 neste diret\u00f3rio quando Windows. Muitos worms e trojans contempor\u00e1neos utilizam, tais t\u00e9cnicas de auto execu\u00e7\u00e3o.<\/p>\n
Outras t\u00e9cnicas de infec\u00e7\u00e3o<\/h2>\n
Alguns v\u00edrus n\u00e3o usam arquivos execut\u00e1veis para infectar um computador, mas simplesmente copiam -se para uma s\u00e9rie de pastas, na esperan\u00e7a de que, mais cedo ou mais tarde, seja executado pelo usu\u00e1rio. Alguns criadores de v\u00edrus nomeam seu v\u00edrus como install.exe ou Winstart.bat para persuadir o usu\u00e1rio a executar o arquivo contendo o v\u00edrus.<\/p>\n
Outros v\u00edrus copiam-se em arquivos como ARJ, ZIP e RAR, enquanto outros escrevem a instru\u00e7\u00e3o para executar um arquivo infectado em um arquivo BAT.<\/p>\n
Os v\u00edrus de liga\u00e7\u00e3o n\u00e3o modificam os arquivos hosts. No entanto, obriga o sistema operacional executar o c\u00f3digo do v\u00edrus, modificando os campos apropriados no sistema de arquivos.<\/p>\n
V\u00edrus de inicializa\u00e7\u00e3o<\/h2>\n
Os v\u00edrus de inicializa\u00e7\u00e3o s\u00e3o conhecidos por infectar o setor de boot dos disquetes e setor mestre de inicializa\u00e7\u00e3o (MBR, sigla em Ingl\u00eas, Master Boot Record) do disco r\u00edgido. Os v\u00edrus de inicializa\u00e7\u00e3o atua com base em algoritmos utilizados para iniciar o sistema operacional quando o computador \u00e9 ligado ou \u00e9 reiniciado. Uma vez que verifica\u00e7\u00e3o de mem\u00f3ria, discos, etc foi conclu\u00edda, o programa de inicializa\u00e7\u00e3o do sistema l\u00ea ou encontra o primeiro setor f\u00edsico do disco de boot (A:, C: o\u00a0 CD-ROM, dependendo dos par\u00e1metros configurados ou instalados na configurac\u00e3o da BIOS e passa a controlar este setor)<\/p>\n
Ao infectar um disco, os virus de inicializa\u00e7\u00e3o substituir\u00e1 o c\u00f3digo por um programa que possibilita controle quando se inicia o sistema. A fim, de infectar o sistema o v\u00edrus obrigar\u00e1 o sistema a ler a mem\u00f3ria e entregar o controle, n\u00e3o o programa de in\u00edcio original, mas o c\u00f3digo do v\u00edrus.<\/p>\n
Os disquetes somente podem ser infectados de uma forma. O v\u00edrus escreve seu c\u00f3digo no lugar do c\u00f3digo original do setor de inicializa\u00e7\u00e3o do disco. Os discos r\u00edgidos podem ser infectados de tr\u00eas formas: o v\u00edrus escreve seu c\u00f3digo no lugar do c\u00f3digo MBR, o c\u00f3digo do setor de inicializa\u00e7\u00e3o do disco de boot modifica o diretorio do setor da tabela de parti\u00e7\u00e3o do disco, e na MBR do disco r\u00edgido.<\/p>\n
Na grande maioria dos casos, ao infectar um disco, o v\u00edrus mover\u00e1 o setor de inicializa\u00e7\u00e3o original (MBR) para um outro setor de disco, em muitas das vezes para o primeiro que encontra -se vazio. Se o v\u00edrus \u00e9 mais longo do que o setor,\u00a0 ent\u00e3o o setor infectado conter\u00e1 a primeira parte do c\u00f3digo do v\u00edrus e o resto do c\u00f3digo ser\u00e1 colocado em outros setores, normalmente nos tr\u00eas primeiros.<\/p>\n
V\u00edrus de macro<\/h2>\n
Os v\u00edrus de macro mais difundidos s\u00e3o para as aplica\u00e7\u00f5es de Microsoft Office (Word, Excel e PowerPoint) que armazenam informa\u00e7\u00f5es em formato OLE2 (Enlace e incorpora\u00e7\u00e3o de objetos, en ingl\u00e9s Object Linking and Embedding). Os v\u00edrus para outras aplica\u00e7\u00f5es s\u00e3o relativamente pouco comun.<\/p>\n
A localiza\u00e7\u00e3o real de um v\u00edrus com um arquivo de\u00a0 MS Office depende do formato de arquivo, o que no caso dos produtos da Microsoft \u00e9 extremamente complexo. Todos os documentos do Word, Office 97 ou tabela Excel consistem de uma seq\u00fc\u00eancia de blocos de dados (cada qual tem seu pr\u00f3prio formato) que est\u00e3o conectados ou ligados por servi\u00e7os de dados. Devido \u00e0 complexidade dos arquivos de\u00a0 Word, Excel e Office 97, \u00e9 mais f\u00e1cil usar um diagrama para mostrar a localiza\u00e7\u00e3o de um v\u00edrus de macro, nestes tipos de arquivos:<\/p>\n
<\/p>\n
\n
\n \n\n \n <\/colgroup>\n \n \n Arquivo de documento tabela sem infec\u00e7\u00e3o<\/strong><\/p>\n<\/td>\n
<\/td>\n \n Arquivo de documento tabela com infec\u00e7\u00e3o <\/strong><\/p>\n<\/td>\n<\/tr>\n
\n <\/p>\n \n
\n \n<\/colgroup>\n \n Cabe\u00e7alho do arquivo<\/td>\n<\/tr>\n \n Dados de servi\u00e7os (diretorios, FAT)<\/td>\n<\/tr>\n \n Texto<\/td>\n<\/tr>\n \n Fontes<\/td>\n<\/tr>\n \n Macros (se for o caso)<\/td>\n<\/tr>\n \n Outros dados<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n <\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
<\/td>\n
<\/td>\n \n \n
\n \n<\/colgroup>\n \n \nCabe\u00e7alho do arquivo<\/td>\n<\/tr>\n<\/tbody>\n \n \nDados de servi\u00e7os (diretorios, FAT)<\/td>\n<\/tr>\n<\/tbody>\n \n \nTexto<\/td>\n<\/tr>\n<\/tbody>\n \n \nFontes<\/td>\n<\/tr>\n<\/tbody>\n \n \nMacros (se for o caso)<\/td>\n<\/tr>\n<\/tbody>\n \n Macros de virus<\/td>\n<\/tr>\n \n Outros dados<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Ao trabalhar com documentos e tabelas, MS Office realiza -se v\u00e1rias a\u00e7\u00f5es diferentes: a aplica\u00e7\u00e3o abre o documento, salva, imprime, fecha-o, etc. MS Word encontrar\u00e1 e executar\u00e1 ou inicializar\u00e1 as macros incorporadas apropriadas. Por exemplo, utilizando a instru\u00e7\u00e3o Arquivo \/ Salvar chamar\u00e1 a macro\u00a0 Arquivo \/ Salvar,\u00a0 a instru\u00e7\u00e3o\u00a0Arquivo \/ SalvarComo chamar\u00e1 a macro Arquivo \/ SalvarComo, e assim sucessivamente, sempre assumindo que tais macros est\u00e3o definidas e configuradas.<\/p>\n
H\u00e1 tamb\u00e9m macros autom\u00e1ticas, que ser\u00e3o chamadas automaticamente em determinadas situa\u00e7\u00f5es. Por exemplo, quando um documento \u00e9 aberto, o MS Word verificar a presen\u00e7a da macro AutoAbrir do documento. Se encontrar a\u00a0 macro, o Word ir\u00e1 executar. Quando um documento for fechado, o Word executa a macro de fechamento autom\u00e1tico. Quando o Word \u00e9 iniciado, o aplicativo ir\u00e1 executar a macro AutoEjec, etc Essas macros s\u00e3o executadas automaticamente, sem qualquer a\u00e7\u00e3o por parte do usu\u00e1rio, assim como as macros ou fun\u00e7\u00f5es que est\u00e3o associados com uma chave particular, ou com um tempo de fechamento espec\u00edfico.<\/p>\n
Como regra geral, os v\u00edrus de macro que infectam arquivos do MS Office utiliza uma das t\u00e9cnicas antes descritas. O v\u00edrus conter\u00e1\u00a0 uma auto macro ( fun\u00e7\u00e3o autom\u00e1tica), uma das normas do sistema de macros (associado a um item de menu) ser\u00e3o redefinidas, ou, o v\u00edrus de macro ser\u00e1 chamado de forma autom\u00e1tica, quando uma determinada tecla ou combina\u00e7\u00e3o de teclas forem apertadas. Uma vez que o v\u00edrus de macro tenha adquirido o controle, transferir\u00e1 o\u00a0 seu c\u00f3digo para arquivos de outros, geralmente os que est\u00e3o sendo editados no momento. Em algumas ocasi\u00f5es os v\u00edrus buscar\u00e3o nos discos e outros arquivos.<\/p>\n
V\u00edrus de Script<\/h2>\n
Os v\u00edrus de script s\u00e3o um subconjunto de v\u00edrus de arquivos, escritos em uma variedade de linguagens de script (VBS, JavaScript, BAT, PHP, etc.) Eles infectam outros scripts, por exemplo, de instru\u00e7\u00e3o e servi\u00e7os de arquivos do Windows ou Linux, ou fazem parte de multi-componente do v\u00edrus. O v\u00edrus script pode infectar outros formatos de arquivos, como HTML, se o formato de arquivo permite a execu\u00e7\u00e3o de scripts.<\/p>\n
\r\n\t\t\t