Sumário
Os vírus informáticos são simplesmente programas maliciosos ou malware que “infectam” outros ficheiros do sistema com a intenção de os modificar ou danificar. Este tipo de infecção consiste geralmente na incorporação do seu código malicioso no ficheiro “vítima” (geralmente um executável) de modo a que a partir desse momento o referido executável se torne o portador do vírus e, portanto, uma nova fonte de infecção.
Existem diferentes tipos de vírus informáticos que podem ser classificados de acordo com a sua origem, as técnicas que utilizam, os tipos de ficheiros que infectam, onde se escondem, o tipo de danos que causam, ou o tipo de sistema operativo ou plataforma que atacam.
1. Vírus de sistema ou de sector de arranque
Estes normalmente deslocam o Master Boot Record (MBR) para algum outro local no disco e copiam o seu próprio código para o MBR e assim são executados primeiro quando o sistema arranca. Estes são basicamente vírus shell que formam uma shell em torno do executável ao qual está ligado e são executados primeiro antes de o controlo ser passado para o executável.
Vamos fazer uma breve introdução aos 4 principais vírus do sector de arranque:
- O vírus Elk Cloner é o primeiro vírus do sector de arranque que se espalha e afecta os utilizadores no mundo real pela primeira vez. Este vírus foi criado por Richard Skrenta, de 15 anos de idade, no início de 1981.
- Brain Vírus que infecta apenas o sector de arranque de disquetes de PC IBM com uma capacidade de 360kb. O país de origem deste vírus foi o Paquistão.
- Vírus Stone que era intencionalmente um vírus não malicioso e só imprimia periodicamente a mensagem “O seu PC está agora apedrejado!” no ecrã do computador. O país de origem deste vírus foi a Nova Zelândia.
- O vírus Michelangelo que foi descoberto pela primeira vez em Fev 1991 foi um dos perigosos vírus do sector das botas que o mundo alguma vez viu. Era uma variante do vírus do sector Stone.
Outros vírus populares do sector das botas são: Vírus Parity Boot, Denzuko Virus, Noint Virus, Barrotes Virus, Angelina Virus, AntiEXE virus, Crazy_Boot virus, AntiCMOS, Lamer Exterminator e Ping Pong virus.
2. Vírus Macro
Estes são geralmente escritos em Visual Basic Applications (VBA) e infectam os ficheiros criados por programas do MS Office como o Microsoft Word, Microsoft Excel. O primeiro vírus macro foi descoberto em Julho de 1995 e foi acidentalmente incluído num CD-ROM chamado Microsoft Compatibility Test. Os métodos mais comuns de propagação de tais vírus de macro incluem:
- Anexos de Email
- CD-ROM
- Internet
- Unidades USB
Existem basicamente dois tipos de macro-vírus:
- Concept Virus – Um primeiro vírus que apareceu em Julho de 1995 e visou o MS Word.
- Melissa Virus – Um primeiro vírus com traço de verme de correio electrónico aparecendo em Março de 1999, que infecta milhares de sistemas em poucas horas.
3. Vírus de ficheiro
Estes infectam ficheiros que são executados ou interpretados, por exemplo, *.EXE, *.SYS, *.COM, *.PRG, *.BAT, etc. Estes tipos de vírus basicamente substituem o código ou inserem o código infectado num ficheiro executável. Estes tipos de vírus infectam basicamente de várias maneiras e podem ser encontrados num grande número de tipos de ficheiro.
Os vírus que infectam ficheiros têm visado uma série de sistemas operativos, incluindo Mac, Unix, Windows, Linux, e DOS. Com a ajuda do VirusTotal, pode facilmente analisar os ficheiros e URLs suspeitos.
4. Vírus de encriptação
Estes vírus encriptam-se e utilizam uma chave diferente cada vez que infectam um novo ficheiro. A encriptação leva à dificuldade de ser reconhecida como um vírus. Os vírus encriptados são muito difíceis de remover, pois necessitam de um descodificador ou de uma chave para descodificar.
Sem conhecer mais detalhes, recomendamos que se tente identificar o nome exacto do vírus carregando um ficheiro encriptado e a nota de resgate aqui:
https://id-ransomware.malwarehunterteam.com/
Ao simplesmente carregar uma nota de resgate, e/ou um ficheiro codificado (de preferência ambos para melhores resultados), o sítio utilizará várias técnicas para ajudar a identificar o que o software de resgate pode ter codificado os ficheiros. Isto inclui a avaliação do nome da nota de resgate, padrões do nome do ficheiro encriptado, e em alguns casos, até padrões de bytes no próprio ficheiro encriptado.
5. Vírus Multipartido
Estes vírus infectam várias partes do sistema ao mesmo tempo. Exemplo: Sector de arranque, bem como ficheiros *.EXE. Um vírus híbrido combina geralmente as abordagens dos dois tipos (vírus de infecção de ficheiros e vírus de registo de arranque), a fim de maximizar os danos e a resistência à remoção.
O Ghostball foi o primeiro vírus multipartido, descoberto por Fridrik Skulason em Outubro de 1989.
Embora os efeitos de algumas infecções sejam subtis e passem despercebidos, um vírus multipartido tende a funcionar rapidamente. Aqui está o que se deve procurar:
- os controladores para as suas unidades já não estão presentes no “Device Manager”.
- recebe mensagens constantes afirmando que a memória virtual é baixa
- o conteúdo no seu ecrã parece estar a derreter
- o tamanho das suas aplicações e ficheiros continua a mudar
- o seu próprio disco rígido reformata-se
- as extensões dos seus documentos de processamento de texto são modificadas de DOC. para DOT.
- os seus programas demoram muito mais tempo a carregar do que antes ou não abrem de todo
6. Vírus furtivo
Estes escapam ao software anti-vírus interceptando as chamadas do software anti-vírus para o SO e apontando-o para o vírus real que fornece uma cópia limpa do programa solicitado para o software anti-vírus. O termo vírus furtivo é também utilizado na medicina, para descrever um vírus biológico que se esconde do sistema imunitário do hospedeiro.
Os codificadores de vírus utilizam principalmente a abordagem furtiva aos scanners de vírus elude. Em geral, um vírus furtivo esconde-se na memória do sistema cada vez que um scanner de programa é executado. Emprega várias técnicas para esconder quaisquer alterações, de modo que quando o scanner procura secções alteradas, o vírus redirecciona-o para qualquer área que contenha os dados limpos e não infectados.
Um vírus oculto pode infectar um sistema informático de várias maneiras, como por exemplo:
- Um vírus do sector de arranque furtivo pode sobrescrever o registo de arranque principal do sistema com código malicioso e modificar o registo do sistema operativo de qualquer rasto de modificação de ficheiros.
- Os vírus furtivos podem também evitar a detecção escondendo o tamanho do ficheiro que infectou, uma vez que algumas técnicas de detecção anti-vírus de base heurística utilizam a diferença de tamanho como parâmetro de identificação de ficheiros infectados.
7. Vírus de grupo
Estes modificam as entradas de directório e os processos do sistema de pontos para o código do vírus, depois o programa actual, levando à execução do código do vírus. Como habitualmente, o vírus executa-se primeiro a si próprio e depois entrega o controlo ao ficheiro, cuja execução foi solicitada.
Um exemplo proeminente de um vírus de cluster é o vírus Dir-2. Este é por vezes classificado como um vírus “furtivo“, devido a algumas das suas protecções naturais. Este vírus é geralmente atribuído à Bulgária, e ataca vários tipos de ficheiros executáveis.
Este tipo de vírus pode causar sérios problemas se não se souber que está lá. Enquanto o vírus está na memória, ele controla o acesso à estrutura do directório no disco. No entanto, se arrancar de uma disquete limpa, e depois executar um utilitário como o CHKDSK, o utilitário irá reportar sérios problemas com ficheiros reticulados no seu disco.
8. Vírus Polimórfico
Estes são vírus que se transformam, mantendo intacta a intenção original. Estes têm motores de mutação que lhes permitem sofrer mutações de várias formas.
O primeiro vírus polimórfico conhecido foi chamado 1260, ou V2PX, e foi criado em 1990 como parte de um projecto de investigação.
Outros exemplos de vírus polimórfico –
- A Tempestade Worm Worm, que apresentava um Trojan de porta traseira, foi descoberta pela primeira vez em 2007.
- A família Virlock ransomware, que foi descoberta pela primeira vez em 2014, é considerada a primeira instância de resgates polimórficos.
Os vírus polimórficos são geralmente distribuídos através de spam, sites infectados, ou através da utilização de outro malware. URSNIF, VIRLOCK, VOBFUS, e BAGLE ou UPolyX são alguns dos mais notórios vírus polimórficos existentes.
As melhores práticas de protecção contra vírus polimórficos –
- Mantenha o seu software actualizado
- Não clique em quaisquer ligações ou anexos suspeitos
- Utilize sempre uma palavra-passe forte e altere-a regularmente
9. Vírus Metamórfico
Estes são vírus que se reescrevem antes de cada infecção. Exemplos notáveis de vírus metamórficos incluem o Zmist, que foi descoberto no início dos anos 2000.
Virlock é outro subtipo de vírus Metamórfico, segundo os peritos este vírus é um vírus único que vem com um código único que atribui códigos diferentes aos vírus dentro da casca e por isso o vírus Virlock é muito difícil de detectar.
Como estes tipos de vírus vêm com um código único que atribui códigos diferentes aos vírus dentro da casca, o que torna o vírus Metamórfico difícil de detectar.
10. Vírus de Infecção Escassa
Estes infectam menos. Infectam ocasionalmente. Exemplo: Alguns vírus infectam quando são executados pela centésima vez ou a duração do ficheiro está entre dois valores ou condições como a sexta-feira 13.
Uma grande variedade de técnicas pode ser utilizada para ajudar um vírus a evitar a detecção da sua actividade.