virus anti virus hacker

CRIADO POR: MARCIO VIEIRA BORGES

CAMPUS II ALAGOINHAS - UNEB

VRUS E ANTIVRUS

2



O que so vrus de computador?Efetivamente, vrus no surgem do nada no seu computador. Eles so escritos por algum e colocados em circulao at atingirem o seu computador atravs de um programa ou disquete infectado. Um vrus um pequeno programa que se autocopia e / ou faz alteraes em outros arquivos e programas, de preferncia sem o seu conhecimento e sem autorizao. As manifestaes dos vrus podem ser as mais diversas como mostrar mensagens, alterar determinados tipos de arquivos, diminuir a performance do sistema, deletar arquivos, corromper a tabela de alocao ou mesmo apagar todo o disco rgido. Um vrus basicamente um conjunto de instrues com dois objetivos bsicos: Se atracar um arquivo para posteriormente se disseminar sistematicamente de um arquivo para outro, sem a permisso ou comando do usurio nesse sentido. Eles so, portanto, auto-replicantes. Alm disso, os vrus contm instrues objetivas no sentido de concretizar uma inteno do seu criador (mostrar mensagens, apagar o disco, corromper programas, etc.). Usualmente eles se multiplicam a partir de um arquivo ou disquete infectado. Quando voc roda um arquivo infectado ou inicializa um computador com um disco infectado, o vrus alcana a memria do seu computador. Dali ele passa a infectar outros arquivos, normalmente os chamados arquivos executveis (extenso .COM e .EXE), podendo tambm infectar outros arquivos que sejam requisitados para a execuo de algum programa, como os arquivos de extenso .SYS, .OVL, .OVY, .PRG, .MNU, .BIN, .DRV. Entretanto j existem vrus que infectam arquivos de dados, como os arquivos do Word (.DOC) e excel (.XLS). Chamado de Macrovrus, eles so uma nova categoria de vrus de computador que atacam arquivos especficos no executveis, ao contrrio do que ocorria anteriormente, quando tais arquivos jamais eram infectados. Outra capacidade indita destes tipos de vrus a sua disseminao multiplataforma, infectando de um tipo de sistema (Windows e Mac, por exemplo). difcil termos um nmero exato dos tipos de vrus, porque literalmente vrus novos surgem a cada dia. Pois alm do estimado de quase 20.000 vrus (com um incremento de cerca de 100 novos por ms), os pesquisadores de vrus utilizam-se de critrios diferentes para classificar os vrus conhecidos. Entretanto, apesar do enorme

3



nmero de espcies conhecidas, apenas uma pequena parcela a responsvel por quase totalidade dos registros de infeces no mundo (estima-se cerca de 98%). Existem vrus que no tm por objetivo provocar danos reais ao seu computador, por exemplo, vrus que nada faam alm de apresentar mensagens em um determinado dia podem ser considerados benignos. Em sentido oposto, malignos seriam os vrus que infligem danos ao seu computador. Entretanto, muitos vrus que causam danos no o fazem intencionalmente. Muitas vezes so consequncias de erros de programao do criador ou bugs. Um vrus maligno pode provocar: erros na hora de execuo de um programa; baixa de memria; lentido para entrar em programas; danificao de dados; danificao de drives; formatao indesejada do HD; alocao desnecessria da memria do computador

4



Tipos de Vrus de Computador:Vrus de ArquivosEsse tipo de vrus agrega-se a arquivos executveis (normalmente extenso COM e EXE), embora possam tambm infectar arquivos que sejam requisitados para a execuo de algum programa, como os arquivos de extenso SYS, DLL, PRG, OVL, BIN, DRV (esta ltima a extenso dos arquivos que controlam o funcionamento do mouse, do CD-ROM, da impressora, do scanner ...). Arquivo de extenso SCR, que a extenso dos screen saver (protetores de tela), tambm podem ser infectado, pois este arquivos so, na verdade, executveis comuns, salvos com outra extenso. Isto feito para que o Windows possa reconhecer automaticamente esse tipo de arquivo. Neste tipo de virose, programas limpos normalmente se infectam quando so executados com o vrus na memria em um computador corrompido. Os vrus de arquivos dividem-se em duas classes, os de Ao Direta e os Residentes. Vrus de Ao Direta Essa classe de vrus seleciona um ou mais programas para infectar cada vez que o programa que o contm executado. Ou seja, toda vez que o arquivo infectado for executado, novos programas so contaminados, mesmo no sendo usados. Como isto acontece? Uma vez contaminado um arquivo, o programa (vrus) faz uma procura no winchester por arquivos executveis. Cada arquivo encontrado colocado em uma lista, aps, na nova execuo do arquivo contaminado, o vrus seleciona aleatoriamente um ou mais arquivos, e esses tambm sero contaminados.

5



Vrus Residentes Essa classe esconde-se em algum lugar na memria na primeira vez que um programa infectado executado. Da memria do computador, passa a infectar os demais programas que forem executados, ampliando progressivamente as frentes de contaminao. Um vrus tambm pode ser ativado a partir de eventos ou condies pr determinadas pelo criador, como data (como o Sexta-feira 13, por exemplo), nmero de vezes que um programa rodado, um comando especfico, etc.

Vrus de Sistema ou Vrus de BootInfectam cdigos executveis localizados nas reas de sistema do disco. Todo drive fsico, seja disco rgido, disquete ou cd-rom, contm um setor de boot. Esse setor de boot contm informaes relacionadas formatao do disco, dos diretrios e dos arquivos armazenados nele. Alm disso pode conter um pequeno programa chamado de programa de boot (responsvel pela inicializao do sistema), que executa a "carga" dos arquivos do sistema operacional (o DOS, por exemplo). Contudo, como todos os discos possuem rea de boot, o vrus pode esconder-se em qualquer disco ou disquete, mesmo que ele no seja de inicializao ou de sistema (de boot). Um comportamento comum entre os vrus de boot que empregam tcnicas mais avanadas invisibilidade exibir os arquivos de boot originais sempre que for feita uma solicitao de leitura do sector 1 da track 0. Enquanto o vrus estiver residente na memria, ele redireciona todas as solicitaes de leitura desse setor para o local onde o contedo original est armazenado. Essa tcnica engana as verses mais antigas de alguns antivrus. Alguns vrus, ainda mais avanados, chegam a marcar o setor onde o os arquivos de boot originais foram colocado, como sendo um setor ilegvel, para que os usurios no possam descobrir o setor de boot em um lugar considerado incomum.

6



Uma explicao tcnica: O primeiro setor fsico (track 0, sector 1, head 0) de qualquer disco rgido de um PC, contm o Registro de Partida e a Tabela de Alocao de Arquivos (FAT). Os vrus de MBR (Master Boot Record) atacam esta regio dos discos rgidos e se disseminam pelo setor de boot do disco. Quando a FAT corrompida, por exemplo, voc perde o acesso diretrios e arquivos, no porque eles em foram atacados, mas porque o seu computador no consegue mais acess-los. Observaes:

Track ou Trilha: uma srie de anis concntricos finos em um disco magntico, que a cabea de leitura / gravao acessa e ao longo da qual os dados so armazenados em setores separados. Sector ou Setor: menor rea em um disco magntico que pode ser endereada por um computador. Um disco dividido em trilhas, que por sua vez so divididos em setores que podem armazenar um certo nmero de bits. Head ou Cabea: transdutor que pode ler ou gravar dados da e na superfcie de um meio magntico de armazenamento, como um disquete ou um winchester.

Vrus MltiplosSo aqueles que visam tanto os arquivos de programas comuns como os setores de Boot do DOS e / ou MBR. Ou seja, correspondem a combinao dos dois tipos descritos acima. Tais vrus so relativamente raros, mas o nmero de casos aumenta constantemente. Esse tipo de vrus extremamente poderoso, pois pode agir tanto no setor de boot infectando arquivos assim que eles forem usados, como pode agir como um vrus de ao direta, infectando arquivos sem que eles sejam executados.

Vrus de Macro a categoria de vrus mais recente, ocorreu pela primeira vez em 1995, quando aconteceu o ataque do vrus CONCEPT, que se esconde em macros do processador de textos MicroSoft WORD.

7



Esse tipo de vrus se dissemina e age de forma diferente das citadas acima, sua dissiminao foi rpida especialmente em funo da popularidade do editor de textos Word (embora tambm encontramos o vrus na planilha eletrnica Excel, da prpria MicroSoft). Eles contaminam planilhas e documentos (extenses XLS e DOC). So feitos com a prpria linguagem de programao do Word. Entretanto a tendncia de que eles sejam cada vez mais eficazes, devido ao fato da possibilidade do uso da linguagem Visual Basic, da prpria Microsoft, para programar macros do Word. O vrus macro adquirido quando se abre um arquivo contaminado. Ele se autocopia para o modelo global do aplicativo, e, a partir da, se propaga para todos os documentos que forem abertos. Outra capacidade indita deste tipo de vrus a sua disseminao multiplataforma, infectando mais de um tipo de sistema (Windows e Mac, por exemplo).

Vrus Stealth ou FurtivoPor volta de 1990 surgiu o primeiro vrus furtivo(ou stealth, inspirado no caa Stealth, invisvel a radares). Esse tipo de vrus utiliza tcnicas de dissimulao para que sua presena no seja detectada nem pelos antivrus nem pelos usurios. Por exemplo se o vrus detectar a presena de um antivrus na memria, ele no ficar na atividade. Interferir em comandos como Dir e o Chkdsk do DOS, apresentando os tamanhos originais dos arquivos infectados, fazendo com que tudo parea normal. Tambm efetuam a desinfeco de arquivos no momento em que eles forem executados, caso haja um antivrus em ao; com esta atitude no haver deteco e consequente alarme.

Vrus EncripitadosUm dos mais recentes vrus. Os encripitados so vrus que, por estarem codificados dificultam a ao de qualquer antivrus. Felizmente, esses arquivos no so fceis de criar e nem muito populares.

8



Vrus mutantes ou polimrficosTm a capacidade de gerar rplicas de si mesmo utilizando-se de chaves de encripitao diversas, fazendo que as cpias finais possuam formas diferentes. A polimorfia visa dificultar a deteco de utilitrios antivrus, j que as cpias no podem ser detectadas a partir de uma nica referncia do vrus. Tal referncia normalmente um pedao do cdigo virtico, que no caso dos vrus polimrficos varia de cpia para cpia.

9



PrecauesO ideal seria jamais ser infectado, mas pode-se afirmar que nenhum computador est imune aos vrus e que no existem programas que possam nos dar 100% de proteo para todos os tipos de vrus. Portanto, preciso ficar atento com as possibilidade do computador ser contaminado. muito importante detectar o vrus antes que ele provoque danos ao seu sistema. Um vrus sempre objetiva se disseminar o mximo possvel at ser descoberto ou deflagrar um evento fatal para o qual foi construdo, como por exemplo apagar todo disco rgido. Entretanto, comum o aparecimento de alguns sintomas quando o computador est infectado, sendo que muitos deles so propositadamente includos na programao dos vrus pelos prprios criadores, como: mensagens, msicas, rudos ou figuras e desenhos. Usualmente, os vrus provocam alteraes na performance do sistema e principalmente, costumam alterar o tamanho dos arquivos que infectam. Uma reduo na quantidade de memria disponvel pode tambm ser um importante indicador de virose. Atividades demoradas no disco rgido e outros comportamentos suspeitos do seu hardware podem ser causados por vrus, mas tambm podem ser causadas por softwares genunos, por programas inofensivos destinados brincadeiras ou por falhas e panes do prprio hardware. Todos os sintomas descritos no so provas ou evidncias da existncia de vrus, entretanto, deve-se prestar ateno alteraes do sistema nesse sentido. Para um nvel maior de certeza essencial ter um antivrus com atualizao recente, j que a lista de vrus aumenta constantemente. Para evitar contaminao indispensvel checar disquetes desconhecidos com um antivrus antes de inseri-los no computador. Pois, muitas vezes sequer necessrio abrir arquivos ou rodar um programa a partir um disquete contaminado para infectar o computador, pelo fato de todos os discos e disquetes possurem uma regio de boot (mesmo os que no so inicializveis), basta o computador inicializar ou tentar a inicializao com um disquete contaminado no drive para abrir caminho para a disseminao. Um vrus pode atacar o programa de antivrus instalado no computador, portanto sempre bom ter mo um disquete "limpo" de boot com a inicializao do sistema operacional e um antivrus que possa ser rodado a partir dele.

10



Outra recomendao bastante importante: ao fazer um download de algum arquivo na Internet ou BBS, antes de executar o programa, preciso test-lo com o antivrus de sua preferncia. Ateno: Lembre-se que os arquivos compactados (extenso como por exemplo ZIP, ARJ ou LHA) podem estar infectados. Na realidade no existe nenhum tipo de vrus que possa infectar os arquivos com essa, mas so raros os lotes de arquivos compactados que no contenham pelo menos UM arquivo executvel ou algum documento do MicroSoft Word ou Excel. Como regra de prudncia, melhor descompact-lo em um diretrio isolado e test-lo com o antivrus de sua preferncia.

11



Protegendo-se Contra Infeces

Algumas medidas podem ser tomadas para proteger-nos de infeces, so elas: Tenha certeza de utilizar a proteo de um bom software Antivrus. A proteo ser mais eficaz se for utilizada a ltima verso disponvel no mercado (os principais fabricantes atualizam seus softwares em mdia a cada 30 ou 60 dias); Se seu produto antivrus possuir um mdulo de auto-proteo, deixe-a sempre ligada, mesmo nos casos de instalao de novos programas, que muitas vezes pedem para o usurio encerrar todos os programas que estejam em uso antes da instalao (desligue todos os aplicativos em uso menos a auto-proteo); Cheque sempre cada arquivo que receber, seja por meio de um disquete, Internet ou de qualquer outra forma; Se voc possui as verso Word 95a ou Word 97 (verso 8.0), habilite a proteo interna contra da seguinte maneira: 1.Selecione o menu Ferramentas depois Opes; 2.Clique em Geral; 3.Aps selecione Ativar Proteo contra Vrus de Macro; 5.Se voc vai fazer um upgrade para o Word 97, e fez poucas alteraes no modelo NORMAL.DOT, considere a possibilidade de deletar o mesmo antes de fazer oupgrade; A maioria dos vrus de macro atacam infectando o modelo NORMAL.DOT, se voc usa a verso 97, poder proteger o seu arquivo com uma senha, assim s quem souber a senha poder fazer qualquer tipo de uma alterao nesse modelo. Para fazer isso siga os seguintes passos: 1. No menu Ferramentas, clique em Macro, depois de um clique na subopo Editor do Visual Basic; 2. No menu Exibir escolha Explorer de Projeto, ir abrir uma janela; 3. Na janela, clique com o boto direito do mouse, sobre a opo Normal, depois Propriedades;

12



4. Selecione a aba Proteo; 5. Deixe selecionado o CHECK-BOX Protege projeto para visualizao; 6. Informe a senha que voc desejar; 7. Clique no boto [ OK ] e saia do Editor do Visual Basic. Pronto, agora toda a vez que algum quiser fazer alguma alterao na configurao do Word, ser necessrio informar a senha, ou seja, os vrus de macros no podero alterar o seu sistema.

13



Programas Antivrus

So programas utilizados para detectar vrus num computador ou disquete. A maioria usa mtodo simples de procura por uma sequncia de bytes que constituem o programa vrus. Desde que algum tenha detectado e analisado a sequncia de bytes de um vrus, possvel escrever um programa que procura por essa sequncia. Se existe algo parecido, o programa antivrus anuncia que encontrou um vrus. O antivrus, por sua vez, funciona como uma vacina dotada de um banco de dados que cataloga milhares de vrus conhecidos. Quando o computador ligado ou quando o usurio deseja examinar algum programa suspeito, ele varre o disco rgido em busca de sinais de invasores. Quando um possvel vrus detectado, o antivrus parte para o extermnio. Alguns antivrus conseguem reparar os arquivos contaminados, entretanto nem sempre isso possvel. Muitas vezes a nica sada substituir o arquivo infectado pelo mesmo arquivo "clean" do software original, ou de outro computador com programas e sistema operacional idnticos ao infectado. Dependendo do vrus e das propores dos danos ocasionados pela virose, apenas algum que realmente compreenda do assunto poder limpar o seu computador e, se possvel, recuperar os arquivos afetados. Alguns antivrus so dotados de alguns recursos especiais, so eles: Tecnologia Push : atualiza a lista de vrus. Ao conectar-se INTERNET, o micro aciona o software Backweb, que busca automaticamente novas verses da lista de vrus no site da McAfee sem a necessidade do usurio fazer dowloads manuais; ScreenScan: varre o disco rgido enquanto o micro est ocioso. Funciona da seguinte maneira: toda vez que o screen saver acionado, o VirusScan entra em ao. Alm de no atrapallar a rotina do usurio, evita a queda de desempenho do PC.

14



Os Melhores Antivrus

Aps o computador ser infectado por um vrus, a nica soluo so esses programas. Alguns antivrus conseguem reparar os arquivos contaminados, entretanto nem sempre isso possvel. Muitas vezes, neste caso, o arquivo infectado pode e deve ser substitudo pelo mesmo arquivo "clean" do software original ou de outro computador com programas e sistema operacional idnticos ao infectado. Mas, muitas vezes, dependendo do vrus e da extenso dos danos ocasionados pela virose, apenas algum que realmente compreenda do assunto poder desinfectar o seu computador e recuperar os arquivos (quando possvel). No processo de descontaminao do computador importante checar todos os seus disquetes, mesmo aqueles com programas e drives originais a fim de evitar uma recontaminao. Existem muitos programas antivrus que podem ser adquiridos no formato shareware em sites de pesquisadores, empresas ou em BBS. As verses shareware so programas que normalmente no possuem todas as funes da verso comercial plena, eventualmente estas verses possuem tempo de uso limitado, a vantagem que geralmente so gratuitas. No basta apenas instalar um bom antivrus no computador para estar livres desses invasores para sempre, pois, como j foi dito anteriormente, cerca de 100 novos vrus surgem todos os meses, ento preciso estar sempre atualizado. A maioria dos antivrus oferecem atualizaes mensais ou bimestrais que podem ser adquiridas gratuitamente por at um ano, por quem comprou o antivrus. A seguir sero apresentados alguns dos mais conhecidos e usados antivrus, aconselho ter UM deles no seu computador, porm o ideal pelo menos DOIS. Escolha o seu na lista a seguir:

15



VirusScanO VirusScan, produzido pela McAfee , o antivrus mais conhecido do mundo. possvel encontrar verses para vrios sistemas operacionais desde o MS-DOS at o Windows. O antivrus possui 10.160 vrus listados. As novas verses desse programa possuem um sistema chamado de Hunter (Caador), que possui uma execuo multiponto de 32 bits projetada para utilizar os avanos mais atuais em termos de memria e gerenciamento de hardware, conferindo ao software um alto nvel de deteco de vrus e rpido rastreamento. Quando entra em ao o sistema cruza informaes sobre comportamentos virais para detectar invasores no catalogados. O Hunter um sistema inteligente, que utiliza webcasting para atualizar seus registros via Internet. O software possui um mdulo chamado ScreenScan que lana automaticamente o programa de anlise quando se ativa o protetor de tela, ou seja, enquanto sua mquina estiver ligada e voc no estiver trabalhando o programa procura sozinho por vrus. Alm disso, devido ao aumento dos Applets Hostis, a McAfee est lanando uma nova verso do VirusScan, trata-se do WebScanX, especializado em policiar o comportamento de aplicaes Java, ActiveX e programas que "viajam" de carona em mensagens de e-mail.

Norton Antivirus - NAVProduzido pela Symantec, o Norton AntiVirus (tambm conhecido como NAV) ganhou a confiana de seus usurios, e passou a ser um mais usados atualmente. Possui 9.600 vrus listados, alm de um sistema de procura por desconhecidos. Mas o que chama a ateno na sua nova verso um sistema desenvolvido especialmente para o Netscape Navigator , que monitora a presena de vrus durante a realizao de download de arquivos na Internet. Se um vrus for encontrado ele automaticamente trata de reparar o arquivo que est sendo baixado.

16



Tem deteco polifrmica, que utiliza um compartimento de limpeza virtual, no qual os vrus mutantes so introduzidos antes que possam atuar sobre os arquivos no disco rgido. Alm disso tambm trabalha em segundo plano vigiando a entrada de invasores.

Dr. Solomons Tool KitPossui aproximadamente 13.000 vrus listados. Um dos destaques do kit o mdulo MailGuard, que foi desenvolvido para proteger o computador dos vrus que chegam pela Internet ou correios eletrnicos, como o Lotus Notes e o Microsoft Exchange. O sistema elimina automaticamente o vrus, caso ele seja encontrado. Mas o que est fazendo do antivrus ficar conhecido, e ter o seu uso cada vez mais constante, um teste publicado pela revista americana PC Magazine, que mostra que o DR. Solomons o primeiro antivrus que detecta 100% dos vrus eletrnicos. Segundo a revista, o antivrus, na verso para o Windows NT, detectou todos os Vrus de Macros e Polifrmicos conhecidos. Tambm possui um mdulo, que trabalha em segundo plano, que fica constantemente procurando por vrus enquanto voc trabalha. Se voc copia arquivos de programas pela Internet a partir de instalaes FTP ou de outros computadores, ou usa disquetes para transferir dados entre computadores, bem possvel que seu computador pegue um vrus. Entretanto voc no precisa se preocupar em pegar vrus quando carregar arquivos de texto ou de dados pela Internet. Um arquivo de programa carregado da Internet ou transferido de qualquer outro computador pode estar infectado por um vrus. Disquetes usados em outros computadores tambm so passveis de estarem infectados. Os vrus so especficos para as plataformas porque os arquivos de programa que infectam so feitos para serem executados em um tipo de computadores. Os computadores executando MS-DOS parecem ter maiores riscos que outros tipos de computadores, provavelmente devido ao maior nmero de computadores MS-DOS no mundo. Entretanto, outros tipos de

17



computadores - especialmente os das linhas Macintosh e Amiga, e sistemas Unix tambm correm riscos. Ao executar um programa infectado ou dar um BOOT de um disco infectado, o vrus anexa cpias de si mesmo em outros programas e discos usados pelo computador. Os vrus podem danificar o software, corrompendo arquivos de programas ou de dados que passam a se comportar erraticamente. Um vrus pode alterar os arquivos de sistema necessrios ao computador quando este ligado. Um vrus pode desordenar o sistema de diretrios nos discos, provocando a perda do registro dos outros arquivos. Programas chamados vasculhadores (anti-vrus) procuram vrus e alertam sua presena. Alguns vasculhadores verificam todos os arquivos que chegam ao computador procura de vrus. Programas de monitorao vigiam as operaes do computador, procurando sinais de que um ataque de vrus pode estar se iniciando. Alguns programas desinfetam, ou removem, os vrus. Programas desinfetantes no funcionam com todos os tipos de vrus, entretanto. vrus adere ao topo de um programa executvel. Quando este programa executado, o vrus inicia seu trabalho sujo. A partir do momento em que o programa de vrus est em execuo, ele toma conta do resto do programa executvel original. Pode-se no perceber que o programa est infectado at que o vrus comee a causar problemas. Uma excelente maneira de proteger seus programas fazer cpias regulares de todos os seus arquivos. Ao descobrir que o computador foi infectado basta descartar os arquivos infectados, reformatar o disco e reinstalar os programas a partir de suas cpias de segurana. D bastante trabalho, mas em alguns casos a nica alternativa.

18



Lista dos principais antivrus do mercado e suas respectivas funes especiais:

ANTIVRUS

VERIFICA ARQUIVOS DURANTE DOWNLOADS COMPACTADOS / NO COMPACTADOS

VERIFICA ARQUIVOS ANEXADOS EM E-MAIL COMPACTADOS / NO COMPACTADOS

VERIFICA ARQUIVOS COMPACTADOS COMPACTADOS / NO COMPACTADOS

Dr.Salomons 7.73 F-Prot 3.01 Imune Vrus II 2.0 Inoculan 5.0 Norton AntiVrus 4.0 PC-cillin 97 2.10 Sweep TBAV VirusScan 3.11

No / Sim No / Sim Sim / Sim No / Sim Sim / Sim Sim / Sim No / Sim No / Sim No / Sim

No / Sim No / Sim Sim / Sim No / Sim No / Sim Sim / Sim No / Sim No / Sim No / Sim

No / No No / No Sim / Sim Sim / No No / No Sim / Sim No / No No /No Sim / No

19



Ficha tcnica com as caractersticas de cada vrus:

1253Ativao: 1 a 31 de dezembro Caractersticas: vrus encontrado em 1990, provavelmente originrio da ustria. Ele infecta arquivos tipo .COM, incluindo o COMMAND.COM, o setor de boot de disquetes e a tabela de partio do disco rgido. O que faz: sobregrava disquetes no drive A: e diminui a memria livre nosistema em 2 128 bytes. Como atua: na primeira vez que executado, o vrus 1253 se instala residente na memria baixa do micro, como um TSR (Terminate and Stay Resident). Este TSR de 2 128 bytes e captura as INTs 13, 21 e 60 do sistema operacional. A memria do sistema permanece igual, mas a memria livre diminui 2 128 bytes. Neste momento, a tabela de partio do disco rgido infectada com o 1253. Se o arquivo contaminado executado a partir de um disquete, o setor de boot do disquete tambm infectado. Qualquer disquete que for acessado quando o vrus est ativo na memria tem o seu setor de boot infectado. Disquetes recm-formatados tambm so contaminados imediatamente.

HalloweenAtivao: em 31 de outubro. Caractersticas: Halloween um vrus de infeco de arquivos que no se torna residente na memria. Ele ataca diretamente arquivos tipo .COM e .EXE (de dados e executveis), incluindo o COMMAND.COM. O que faz: torna o micro mais lento, fazendo com que arquivos e documentos demorem entre dois e cinco minutos para serem abertos. Os arquivos infectados tambm aumentam 10 000 bytes em tamanho.

20



Como atua: cada vez que um arquivo contaminado executado, o arquivo procura no mesmo diretrio um arquivo executvel (.EXE). Se no achar um arquivo .EXE no-contaminado, procura um .COM. Se todos os arquivos .COM e .EXE estiverem contaminados, o usurio recebe uma mensagem que diz: "Runntime error 002 at 0000:0511" Sintomas de infeco: os arquivos infectados por Halloween passam a ter as seguintes linhas de texto: "*.*" / "ALL GONE" / "Happy Halloween"

4096Ativao: 1 de outubro at 31 de dezembro Caractersticas: vrus tipo "stealth" invisvel, residente na memria, que infecta arquivos tipo .COM, .EXE e .OVL (de dados e executveis). O que faz: corrompe e destri arquivos executveis e de dados, aumentando o volume de dados dos arquivos. Uma vez residente na memria do sistema, infecta qualquer arquivo executvel aberto, mesmo que seja aberto com o comando COPY ou XCOPY do DOS. Sintomas de infeco: o micro se torna lento, como se houvesse um defeito de hardware.

Helper A e BAtivao: dias 10 de todos os meses. Caractersticas: vrus de macro que se propaga infectando documentos do Microsoft Word (verses 6.x e 7.x) nas plataformas Windows e Macintosh. Ele possui uma linguagem independente para contaminar arquivos .DOC e .DOT. O que faz/sintomas de infeco: o vrus cria ou muda a senha para help em cada documento fechado no dia 10 de cada ms.

21



Colombus/AkukuAtivao: em 12 de outubro Caractersticas: o Columbus um vrus no residente em memria, baseado no vrus Akuku, que como ele infecta arquivos .COM e .EXE (de dados e executveis), incluindo o COMMAND.COM. O que faz: cada vez que um arquivo infectado executado, o vrus contamina mais trs arquivos no mesmo diretrio. Se no encontrar arquivos no-contaminados no mesmo diretrio, procura um diretrio acima at chegar ao drive C:. Sintomas de infeco: no dia da ativao do Columbus, quando um programa est contaminado, o vrus exibe repetidas vezes no monitor a seguinte mensagem, enquanto l o sistema inteiro do disco rgido: "Columbus Raped America. Now I Rape your Hard Disk." / ("Colombo violentou a Amrica. Agora eu violento o seu disco rgido.") No caso do vrus original, Akuku, includa a seguinte linha de texto no cdigo viral, encontrada em todos os arquivos contaminados: "A kuku, Nastepny komornik !!!" Alguns arquivos executveis tambm deixam de funcionar adequadamente depois da infeco com o Akuku e podem exibir mensagens do tipo "Error in EXE file" ("Erro no arquivo EXE").

Alien.hAtivao: todo domingo Caractersticas: vrus de macro que se propaga infectando documentos do Microsoft Word (verses 6.x e 7.x), nas plataformas Windows e Macintosh.

22



O que faz: exibe a mensagem "It's Sunday and I intend to relax!" ( domingo e eu pretendo relaxar) em uma caixa de dilogo e fecha o documento ativo naquele momento. Causa erros no WordBasic e na interpretao de macros no Word. Como atua: o vrus consiste das macros AUTOOPEN, AUTOCLOSE e FILESAVEAS nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros so encriptadas, impedindo que o usurio as edite ou veja os seus cdigos. Sintomas de infeco: ao abrir um documento num micro infectado, o vrus deleta as opes de menu FERRAMENTAS|MACRO e WordBasic. No dia 1 de agosto, o vrus exibe a seguinte mensagem: - / Alien / X / Another Year of Survival / OK Em seguida, o programa fechado. Em Windows 3.x, o vrus tambm esconde o Gerenciador de Arquivos. Ao abrir um arquivo num domingo de qualquer ms, o vrus poder exibir a mensagem: - / Alien / X / It's Sunday and I intend to relax! / OK Em seguida, ele fecha o Word. FERRAMENTAS| PERSONALIZAR. Alm disso, cdigos corrompidos fazem surgir mensagens de erro de

SatanicAtivao: em 1 de outubro Caractersticas: vrus de macro que infecta documentos do Microsoft Word (verses 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: na primeira infeco, cria um arquivo executvel C:\NC.COM e no dia de sua ativao: tenta formatar o drive C: no Windows. Como atua: grava macros no Word que so executadas nas diversas atividades documentos, que o usurio e sair realiza do enquanto usa as o programa macros so (salvar/abrir encriptadas, fechar software). Todas

23



tornando impossvel para o usurio editar ou visualizar o cdigo. Um sistema infectado pelo vrus deleta TOOLS/MACRO, TOOLS/CUSTOMIZE e TOOLS/OPTIONS. Sintomas de infeco: no dia 30 de setembro, quando o usurio cria um novo documento, aparece no monitor um quadro com a mensagem: Youre infected with Satanic

AllianceAtivao: dias 2, 7, 11 e 12 de todo ms. Caractersticas: vrus de macro que infecta documentos do Microsoft Word (verses 6.x/ 7.x/ 97), nas plataformas Windows e Macintosh. O que faz: altera o funcionamento de macros no arquivo NORMAL.DOT. Sintomas de infeco: cada documento infectado apresentar o texto "YOU HAVE BEEN INFECTED BY THE ALLIANCE" como assunto na rea de do ARQUIVO/PROPRIEDADES. resumo

Leandro & kellyAtivao: em 21 de outubro. Caractersticas: Leandro & Kelly um vrus residente em memria que infecta o setor Master Boot Record (MBR). O que faz: o vrus causa mudanas no setor MBR do sistema, fazendo com que o usurio tenha dificuldade para inicializar o micro e dificuldade no acesso a drives de disquetes. Como atua: a nica forma de infectar um computador com vrus de MBR tentar inicializar a mquina usando um disquete de boot contaminado. Depois da contaminao, o vrus se instala tambm no setor de MBR do disco rgido e se torna residente na memria.

24



Sintomas de infeco: no dia 21 de outubro, o vrus exibe no monitor a seguinte mensagem: "Leandro & Kelly!" / "GV-MG-Brazil" (e a data de infeco)

Jerusalem/AnarkiaCaractersticas: Anarkia uma variante do vrus Jerusalm. Tem o efeito de derrubar o desempenho do sistema e deletar arquivos executados. A diferena em relao ao Jerusalem que no apresenta a caixa preta que o identifica no monitor. Trata-se de um vrus residente em memria que infecta arquivos tipo .COM, .EXE, .SYS, .BIN, .PIF e .OVL. Vrios vrus foram desenvolvidos tomando o cdigo do Jerusalem como base. Ativao: o vrus Jerusalem ativado nas sextas-feiras dia 13; o Anarkia, nas teras-feiras 13 e, o Anarkia-B, no dia 12 de outubro. O que faz: torna o micro mais lento e, no dia de sua ativao, deleta todo arquivo que o usurio tentar executar. Sintomas de infeco: os arquivos .COM infectados ganham 1 813 bytes adicionais e arquivos .EXE ganham entre 1 808 e 1 822 bytes.

Louvado.AAtivao: dia 13 de todo ms Caractersticas: vrus de macro brasileiro de alto poder destrutivo, que deleta arquivos e diretrios do Microsoft Windows, Office, Word e Excel. O vrus se propaga infectando documentos do Microsoft Word (verses 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: ao abrir um arquivo nos dias 13, 14, 19 e 24 de qualquer ms, ele deleta vrios arquivos no drive C. Como atua: o vrus consiste da macro AUTOOPEN nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros so encriptadas, impedindo que o usurio as edite ou veja os seus cdigos.

25



Sintomas de infeco: depois de deletar arquivos no drive C:, o vrus exibe o seguinte a pergunta num quadro de mensagem: Voc GAY??????

AragornAtivao: dia 28 de outubro Caractersticas: vrus no-residente em memria que infecta arquivos tipo .COM e .EXE, incluindo o COMMAND.COM. Um bug no vrus faz com que ele infecte o primeiro arquivo .EXE num diretrio e no infecte os outros arquivos .EXE no mesmo diretrio. O mesmo erro no ocorre em relao a arquivos .COM. Sintomas de infeco: as seguintes linhas de texto so visveis junto ao cdigo viral em todo arquivo com Aragorn: A Aragorn-Roma "(C)1992" / *.com *.exe" / "RRRR" No dia da ativao do Aragorn, a seguinte mensagem exibida em texto Ansi, com uma barra colorida representando a bandeira italiana: "MUSSOLINI DUX / 28 OTTOBRE / ANNIVERSARIO / MARCIA SU ROMA / (barra colorida) / BOIA CHI MOLLA"

KarinAtivao: em 23 de outubro. Caractersticas: Karin, tambm conhecido como RedStar, um vrus no residente em memria que infecta arquivos. Ele ataca arquivos tipo .COM e .EXE (de dados e executveis), incluindo o COMMAND.COM.

26



O que faz: no dia de sua ativao, se um arquivo for executado o vrus exibe insistentemente uma mensagem que comemora o aniversrio de Karin. O vrus coloca o arquivo em loop e o sistema precisa ser reinicializado. Como atua: quando um arquivo infectado com Karin executado, o vrus procura outros arquivos .COM no mesmo diretrio e os infecta. Se o arquivo COMMAND.COM estiver nesse diretrio, ser contaminado. Sintomas de infeco: no dia 23 de outubro, ao executar um arquivo, a seguinte mensagem exibida repetidas vezes: "Karin's hat GEBURTSTAG"

BadboyAtivao: 1 e 13 dia de cada ms Caractersticas: vrus de macro que infecta documentos do Microsoft Word (verses 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: o vrus instala as seguintes macros em todo documento infectado: AUTOOPEN, FILESAVEAS, BADBOY, AUTOEXEC e FILENEW, que mudam o funcionamento do programa. O vrus tambm estabelece a palavra gansta como senha para salvar os documentos. Como atua: a macro AUTOOPEN infecta o arquivo global de macros, quando o usurio abre um documento do Word contaminado. Ao usar a macro FILESAVEAS, todos os outros documentos sero infectados. Sintomas de infeco: nos dias de sua ativao, apresenter as seguintes telas de mensagem em sistemas infectados: - / Mack Daddy / X / Bad Boy, .., What u gonna do / OK / - / The Gansta Rappa / X / What u gonna do when they come for you / OK

27



Em seguida, o vrus passa a pedir a senha para salvar os arquivos. Depois de registrar a senha gansta, dois quadros de mensagem como este aparecero: - / BMF / X / The Gansta owns you! .. / OK

KompuAtivao: dias 6 e 8 de todo ms. Caractersticas: vrus de macro encriptado, stealth, que infecta documentos do Microsoft Word (verses 6.x/ 7.x/ 97), nas plataformas Windows e Macintosh. O que faz: altera o funcionamento de macros do Word. O vrus consiste das macros AutoOpen e AutoClose em documentos infectados e torna-se ativo utilizando a AutoMacros. Sintomas de infeco: quando for abrir um documento, no 6 e 8 dia do ms, aparecer um quadro com a seguinte mensagem: Tahan Komi!, Mul on paha tuju! / O usurio dever digitar a palavra Komm para fechar a janela. A seguinte mensagem ser enviada para a impressora: Namm-Namm-Namm-Namm-Amps-Amps-Amps-Amps-Klomps-Krook!

Bad.aAtivao: dia 13 de todo ms Caractersticas: vrus de macro brasileiro que infecta documentos do Microsoft Word (verses 6.x e 7.x), nas plataformas Windows e Macintosh.

28



O que faz: deleta todos os arquivos .DLL do diretrio c:\windows\system, provocando problemas operacionais, e tambm exibe uma mensagem em portugus na barra de status. Como atua: o vrus consiste da macro AUTOOPEN nos documentos infectados. Torna-se ativo usando o AutoMacros. Todas as macros so encriptadas, impedindo que o usurio as edite ou veja os seus cdigos. Sintomas de infeco: ao abrir um documento, existe uma chance em 40 de que o vrus exibir, na barra de status do Word, a mensagem: BAD v1.0 Copyright (c) 1997, Todos os direitos reservados Se esta rotina for ativada num dia 13 de qualquer ms, o vrus em seguida deleta os arquivos .DLL do direitrio c:\windows\system.

Tamago.aAtivao: dia 26 de cada ms Caractersticas: vrus de macro que infecta documentos do Microsoft Word (verses 6.x, 7.x e 97), nas plataformas Windows. O que faz: quando aberto ou fechado um arquivo do Word, no dia 26 de qualquer ms, o Tamago faz diversas entradas na AUTOEXEC.BAT, a maioria das quais inofensiva. Porm, no inofensiva a seguinte linha: deltree |y c:\*.*>nul Ela faz com que todos os arquivos do drive C sejam deletados. O computador, em seguida, envia uma mensagem ao usurio (veja Sintomas de infeco). Como atua: o vrus, escrito para a verso em portugus do Word, contm as seguintes AUTOOP, macros: AUTOEXEC, ARQUIVOSALVARCOMO, ARQUIVOMODELOS, que AUTOCLOSE, mudam o UTILMACRO, FERRAMMACRO,

ARQUIVOIMPRIMIR,

ARQUIVOIMPRIMIRPARDRO,

29



funcionamento

do

programa.

O

vrus

torna-se

ativo

usando

Auto

e

SystemMacros. O Tamago.A s tem o seu SystemMacros ativado na verso em portugus. Embora a sua AutoMacro possa ser ativada em qualquer verso, provavelmente sua distribuio limitada de portugus. Sintomas de infeco: no dia de sua ativao, o vrus procura deletar os arquivos do drive C. Em seguida, faz um barulho de beep e exibe as mensagens abaixo: - / TamAGoXi's NoTe / X / EtERnAl LoVE 2 mY LitTlE gIrl Gi / OK Quando utilizada a macro UTIL|MACRO ou FERRA|MACRO, aparece a seguinte mensagem: - / MicoSoft Word / X / Erro de compilao mdulo / 34:121 Visual Basic. Contate / Suporte On-Line. / OK

BoomAtivao: todo dia 13 entre os meses de maro e dezembro, pontualmente s 13h13min13s. Caractersticas: vrus de macro que infecta apenas os documentos da verso alem do Microsoft Word (verses 6.x e 7.x, para Windows e Macintosh), mas tambm tem conseqncias negativas para as verses em outras lnguas. O que faz: substitui todo o menu de opes da verso do Word em alemo para inserir as seguintes palavras no lugar das opes Arquivo | Editar | Exibir | Inserir | Formatar | Ferramentas | Tabela | Janela | Ajuda : "Mr. | Boombastic | and | Sir | WIXALOT | are | watching | you | !!". (Frase que significa "O sr. Boombastic e Sir WIXALOT esto observando voc!!"). O programa, em seguida, exibe uma piada poltica em alemo e a envia para impresso.

30



Why WindowsAtivao: dias 23, 24 e 25 de fevereiro Caractersticas: este vrus sueco, descoberto em 1992, no residente em memria. Infecta arquivos .COM, incluindo o COMMAND.COM. Cada vez que um arquivo contaminado executado, ele infecta um arquivo .COM no diretrio corrente. O que faz: tenta deletar o arquivo \windows\win.com e, no dia 23 de fevereiro, procura apagar o C:\autoexec.Bat. No dia 24 de fevereiro, tenta deletar o C:\Config.sys e, por fim, no dia 25, tenta sobrescrever a raiz do diretrio C:\ e a tabela de locao. Sintomas de infeco: os arquivos tm o acrscimo de 459 bytes, com o vrus sendo localizado no fim do arquivo. A seguinte linha de texto pode ser encontrada no cdigo viral de todo arquivo infectado com Why Windows: *.com / C:\Command.COM C:\Autoexec.bat C:\Config.Sys / \windows\win.com / Why Windows (c) 1992 MaZ / BetaBoys B.B

CascadeAtivao: de 1 de outubro a 31 de dezembro. Caractersticas: Cascade surgiu, inicialmente, como um Cavalo de Tria (arquivo destrutivo que distribudo como um programa til) que desliga a luz da tecla Num-Lock quando o sistema reiniciado. O Cavalo de Tria fazia com que caracteres cassem na tela em cascata (motivo do seu nome) at montar uma pilha na base da tela. O programa foi posteriormente transformado em vrus, do tipo residente em memria, que contamina arquivos .COM. O que faz: afeta o desempenho de monitores tipo CGA ou VGA. Sintomas de infeco: as verses iniciais do vrus apresentavam teclas caindo no monitor, mas verses mais recentes no exibem mais as teclas em cascata, tornando difcil para o usurio saber da contaminao.

31



Little_Brother-449Ativao: na 1 tera-feira de novembro Caractersticas: vrus residente em memria que infecta arquivos tipo .EXE (executveis). O Little_Brother.307 tambm cria arquivos .COM. O que faz: aps tornar-se residente em memria, o vrus acrescenta 349 bytes ao primeiro arquivo .EXE que for executado. Sintomas de infeco: na primeira tera-feira de novembro, dia das eleies majoritrias nos Estados Unidos, o vrus apresenta a seguinte mensagem no monitor do usurio, acompanhada de mltiplos sons de "bips": "DID YOU VOTE, SHITHEAD??"

ConceptAtivao: o Concept.F ativado todo 16 dia do ms e, o Concept.L, todo 17 dia do ms. Caractersticas: os vrus Concept (F, G, J, L e M) so baseados no primeiro vrus de macro surgido no mundo, o Concept. Infectam documentos do Microsoft Word (verses 6.x, 7.x e 97), nas plataformas Windows e Macintosh. O que fazem: Concept.F troca as letras em documentos do Word, substituindo "." por ",", "a" por "e" e "and" por "not". Concept.L fecha arquivos template programa. Sintomas de infeco: os vrus Concept.F, G e J exibem a seguinte mensagem no monitor, ao entrar ou sair do Word no 16 dia de todo ms: global .DOC automaticamente e tenta deletar o diretrio c:\DELETEME. Como atuam: documentos infectados com o vrus inserem macros na do Word, NORMAL.DOT, que altera o funcionamento do

32



- / Parasite Virus 1.0 / X / Your computer is infected with the Parasite / Virus, version 1.0! / OK Os vrus Concept.L e M, ao infectar um documento pela primeira vez, mostram a seguinte caixa de dilogo: - / Microsof Word / X / Uh Ohhh. NORMAL.DOT just got / infected .. / OK No 24 dia do ms, quando o usurio fecha um documento, o vrus tenta deletar o diretrio c:\DELETEME.

TenbytesAtivao: de 1 de outubro a 31 de dezembro. Caractersticas: o vrus, quando ativado, corrompe arquivos, fazendo com que percam os primeiros 10 bytes cada vez que so gravados. No fim destes arquivos aparecem dez caracteres embaralhados. Se o vrus for executado em um sistema com menos de 640 KB de memria, o vrus derruba o sistema. O que faz: quando um arquivo infectado com o TenBytes executado, o vrus se instala residente na memria do sistema. Ento, se alastra por arquivos .COM e .EXE, incluindo o COMMAND.COM.

Clock:DEAtivao: dias 1, 2, 13, 21, 26, 27, 28, 29, 30 e 31 de outubro Caractersticas: vrus de macro alemo que infecta somente arquivos .DOC e .DOT de verses do Microsoft Word alem (verses 6.x e 7.x), nas plataformas Windows e Macintosh. O que faz: quando o usurio inicia o trabalho num documento, nas datas de ativao do vrus, ele executa rapidamente as funes das macros FileOpen e

33



FileSave, nos primeiros cinco minutos de cada hora. O vrus criptografa os cdigos de macros, impedindo que sejam visualizados ou editados. Sintomas de infeco: num sistema infectado, o vrus esconde as funes de FILE/TEMPLATE e TOOLS/MACRO. Ao abrir o Word, no 25 dia do ms, comum que aparea o seguinte quadro de mensagem: - / Microsoft Word / X / 16:08 Uhr / OK O vrus tambm inverte as funes ARQUIVO/SALVAR COMO e ARQUIVO/ABRIR do programa.

Maltese AmoebaAtivao: 15 de maro e 1 de novembro Caractersticas: este vrus, descoberto na Irlanda mas fabricado em Malta, residente em memria e infecta arquivos .COM e .EXE (de dados e executveis), exceto o COMMAND.COM. O que faz: nas datas de sua ativao, sobregrava os primeiros quatro setores dos cilindros 0 a 29 do disco rgido e disquetes. Depois de sobregravar esses setores, o vrus exibe uma tela luminosa piscando e deixa o micro em loop. Aps a reinicializao, exibe um poema e, em seguida, faz o sistema cair. Sintomas de infeco: depois de sobregravar setores do HD, exibe o seguinte poema, logo aps a reinicializao do micro: "To see a world in a grain of sand / And a heaven in a flower / Hold infinity in the palm of your hand / And eternity in an hour" (Para ver o mundo num gro de areia / E o cu numa flor / Guarde a infinidade na palma da sua mo / E a eternidade numa hora") Em seguida, o sistema cai. Dentro do setor de boot do disco rgido, um outro texto, encriptado, leva a seguinte mensagem:

34



"AMOEBA virus by the Hacker Twins (C) 1991 / This is nothing, wait for the release of AMOEBA II The / universal infector, hidden to any eye by ours! Dedicated / to the University of Malta - the worst educational / system in the universe, and the destroyer of 5X2 years / of human life". ("Vrus AMOEBA pelos Gmeos Hackers (C) 1991 / Isto no nada, aguardem o lanamento do AMOEBA II / - O infector universal, escondidos aos olhos de todos por ns! / Dedicado Universidade de Malta - o pior sistema educacional / do universo e o destruidor de 5 x 2 anos de vida humana".)

Dark-EndAtivao: em 15 de outubro. Caractersticas: Dark-End um vrus residente em memria que sobregrava dados. Ele infecta arquivos tipo .COM e EXE (de dados e executveis). O que faz: pode gerar danos irreparveis aos dados no disco rgido e deletar arquivos. Sobregrava os primeiros 30 setores do disco C:. Como atua: quando o primeiro arquivo infectado pelo vrus executado, ele se instala residente em memria, afetando arquivos todos os .COM e .EXE executados, incluindo o COMMAND.COM. Sintomas de infeco: Todos os arquivos infectados contm o seguinte texto no cdigo viral: "(c) Dark End." Os arquivos infectados aumentam 1 188 bytes em tamanho. Os sistemas infectados tambm podem apresentar interferncia no monitor, clarear a tela e tremular o cursor, alm de derrubar o sistema.

Twno1Ativao: dia 13 de todos os meses Caractersticas: Twno1 um vrus de macros capaz de sobregravar o disco

35



rgido e provocar perda total ou parcial de dados e programas. No ambiente Microsoft Word, o Twno1 infecta arquivos .DOC e .DOT. O que faz: Twno1 apresenta um jogo de aritmtica mental no dia 13 de qualquer ms. Se voc responder errado, o sistema abre 20 documentos para cada questo. O Windows executado cada vez mais lentamente. Como atua: o vrus usa as macros AutoClose, AutoNew e AutoOpen para infectar arquivos .DOT. O vrus de macro se espalha quando existe uma ou mais macros num documento. Ao abrir ou fechar um documento, ou realizar qualquer outra atividade que evoque a macro viral, o vrus ativado. Uma vez que se ativa a macro do vrus, ela faz uma cpia de si mesma e de quaisquer outras macros de que necessitar, muitas vezes usando o prprio arquivo global de macros, NORMAL.DOT. Ao instalar-se no NORMAL.DOT, o vrus fica disponvel para todos os arquivos do Word e procura contamin-los. Sintomas de infeco: Twno1 realiza um jogo de aritmtica com o usurio (veja em "O que faz").

DatacrimeAtivao: em 12 de outubro Caractersticas: Datacrime, tambm conhecido como vrus 1168, um vrus parasita que grava informaes por cima de outros arquivos. No residente em memria e infecta arquivos tipo .COM. O que faz: o vrus se agrega no fim dos arquivos .COM, aumentando o tamanho do arquivo em 1168 bytes. Os primeiros 5 bytes do arquivo hospedeiro armazenam o cdigo viral e, ento, repassam as linhas de instruo para que o vrus seja executado antes do arquivo hospedeiro. O vrus se propaga procurando arquivos .COM e vai se agregando a eles. Sintomas de infeco: o vrus vai se propagando por arquivos .COM do sistema at o dia 12 de outubro, quando exibe a seguinte mensagem, quando um arquivo contaminado executado:

36



"DATACRIME VIRUS / RELEASED: 1 MARCH 1989" Erros no cdigo fazem com que arquivos .COM contaminados apaream ao acaso, sempre fazendo o sistema cair depois da infeco.

ZaphodAtivao: 28 de fevereiro Caractersticas: vrus ingls, descoberto em 1992, que no residente em memria e tem ao direta na infeco de arquivos .COM, incluindo o COMMAND.COM. Quando um arquvio contaminado com Zaphod executado, o vrus infecta o primeiro arquivo .COM localizado no diretrio corrente. Ele no infecta arquIvos .COM localizado no diretrio corrente. Ele no infecta arquivos .COM alm do diretrio corrente. O que faz: exibe uma mensagem na tela (veja sintomas) e se replica no sistema. Sintomas de infeco: na data de sua ativao, a execuo de um arquivo infectado resulta na seguinte mensagem no monitor: Greetings from ZAPHOD. Alm da mensagem, as seguintes linhas de texto tambm so encriptadas com o cdigo viral: Lu*.COM / ????????COM

MDMA (Many Delinquent Modern Anarchists) (A, C, D, F, G e H)Ativao: todo dia 1 do ms (na verso MDMA.C, a data de ativao em Macintosh, ocorre em qualquer momento depois do 4 dia do ms). Caractersticas: vrus de macro que infecta arquivos do Microsoft Word nas verses 6.x e 7.x nas plataformas Windows, Windows 95, Windows NT e Macintosh. depende

do sistema operacional: em Windows 3.x, 95 e NT, alterada para o dia 31 de todo ms;

37



O que faz: tem potencial de apagar todos os arquivos. O vrus infecta o NORMAL.DOT e arquivos que utilizam a macro AutoClose. Aps fechar um arquivo, este ser salvo como template (modelo de pgina) com uma cpia do AutoClose. Como atua: o vrus se torna ativo utilizando a macro AutoMacro e encripta todas as macros, impendindo que o usurio edite ou visualize o cdigo. Sintomas de infeco: o seguinte texto exibido em uma caixa de mensagem: - / MDMA_DMV / X / You are infected with MDMA_DMV. / Brought to you MDMA (Many Delinquent / Modern Anarchists) / OK ( Ou seja: "Voc foi infectado com MDMA_DMV. Oferecido por MDMA (Anarquistas Modernos Muito Delinquentes)").

Violator (Variantes: Violator B1; Violator B2; Violator-C)Caractersticas: Violator B1, B2 e C so variantes do vrus original, Violator, cuja caracterstica principal infectar um arquivo novo cada vez que um arquivo contaminado executado. No perodo de sua ativao, o vrus sobregrava o incio do disco rgido se um arquivo contaminado for executado. Ativao: o Violator-C ativado de outubro a novembro de qualquer ano; o Violator-B1 ativado todo dia 4, nos meses de setembro, outubro, novembro e dezembro; e o Violator-B2 ativado no dia 31 de outubro. Sintomas de infeco: a seguinte mensagem aparece no cdigo viral localizado nos arquivos infectados: "TransMogrified (TM) 1990 by RABID N'tnl / Development Corp Copyright (c) 1990 RABID! / Activation Date: 08/15/90 - Violator Strain B - ! / (Field Demo Test Version)!! * NOT TO BE DISTRIBUTED / *!" Outros sintomas de infeco so tentativas de acesso ao drive B: sem que o usurio o tenha requisitado. Se no houver disquete no drive B:, ou se o disquete estiver protegido contra gravao, exibida mensagem de erro.

38



MunchAtivao: dia 9 em todo ms Caractersticas: vrus de macro que propaga infectando documentos do Microsoft Word em plataformas Windows e Macintosh. O que faz: todas as macros so encriptadas, impedindo o usurio de editar ou visualizar os cdigos da macro. Como atua: os arquivos contaminados com este vrus tm as macros AutoOpen e Macro1. No documento NORMAL.DOT, esses nomes so trocados para AutoOpen e Macro10. Sintomas de infeco: no dia da ativao do Munch, o vrus apresenta na barra de status o texto: "Whose turn is it to get the nunchies in?"

Father ChristmasAtivao: 19 a 31 de dezembro Caractersticas: vrus descoberto na Polnia, tambm conhecido como Choinka, que baseado no vrus Vienna. Trata-se de um vrus infector no-residente em arquivos .COM e no COMMAND.COM. O que faz: exibe uma rvore de Natal no seu monitor. Como atua: quando um programa contaminado com Father Christmas executado, o vrus infecta um outro arquivo .COM no diretrio corrente. Se no houver arquivos .COM no-contaminados nesse diretrio, o vrus procura um arquivo para contaminar nos diretrios acima ou abaixo dele, na rvore do sistema. Sintomas de contaminao: no perodo entre 19 e 31 de dezembro, quando arquivos contaminados so executados, um desenho de rvores de Natal exibido na tela com a seguinte mensagem:

39



"Merry Christmas / & / a Happy New Year / for all my lovely friends / from FATHER CHRISTMAS"

Delta.1163Ativao: em 9 de novembro Caractersticas: vrus encriptado, residente em memria, que infecta arquivos .COM e .EXE. Aps a infeco, o Delta.1163 torna-se residente em memria. O que faz: o vrus capaz de deletar o CMOS (complementary metaloxidesemiconductor), fazendo com que no seja mais possvel inicializar o micro. Como atua: o vrus se propaga quando um arquivo infectado for executado no micro. Sintomas de infeco: no dia de sua ativao, deleta o CMOS e apresenta o seguinte texto no monitor: "Good bytes from (DEL)ta Virus!!!"

FlipAtivao: todo 2 dia do ms Caractersticas: um vrus que infecta arquivos tipo .COM, .EXE e .OVL, incluindo o COMMAND.COM, assim como o setor de boot do sistema e o Master Boot Record (MBR). O Flip, porm, s transmitido por arquivos .EXE. O que faz: no dia de sua ativao, causa instabilidade (flicker) em monitores tipo EGA e VGA durante uma hora. Alm disso, sistema com o disco rgido com parties maiores do que 32 MB podem ter o sistema lgico de particionamento alterado, tornando o nmero de bytes da partio um pouco menor do que 32 MB. Como atua: a nica forma de infectar um sistema com Flip executar um arquivo contaminado pelo vrus. O arquivo infectado pode vir de disquetes, download da Internet/servios on-line ou outras vias. Uma vez executado o arquivo, o vrus fica residente em memria. Nesse momento, todos os arquivos .COM e .EXE tornam-se

40



contaminados, incluindo a cpia do COMMAND.COM no diretrio raiz do drive C:. Se estes arquivos utilizarem arquivos .OVL, tambm sero contaminados. O MBR do disco rgido e o setor de boot do sistema tambm so afetados. Sintomas de infeco: no segundo dia de qualquer ms, sistemas que foram inicializados a partir de um disco rgido infectado e tendo monitores EGA ou VGA apresentaro no monitor flickers horizontais por uma hora.

Peter_IIAtivao: 27 de fevereiro Caractersticas: vrus residente em memria, stealth, encriptado, infector do Master Boot Record (MBR). O que faz: no dia 27 de fevereiro, testa os conhecimentos de msica pop internacional do usurio do micro. Caso o usurio responder errado uma de suas perguntas, os dados do micro sero perdidos. Sintomas de infeco: no dia 27 de fevereiro, o sistema infectado com Peter_II apresenta a seguinte mensagem: Good morning, EVERYbody, I am PETER_II / Do not turn off the power or you will / lost all of the data in Hardisk!! / Wait for 1 minute, please... O vrus, ento, apresenta as seguintes perguntas, que devem ser respondidas corretamente: OK, If you give the right answer to the following / questions, I will save your HD: / A. Who has sung the song called "I'll be there"? / 1. Mariah Carey 2. The Escape Club / 3. The Jackson five / 4. All (1-4). / B. What is Phil Collins? / 1. A singer 2. A drummer 3. A producer 4. All above / (1-4) / C. Who has the MOST TOP 10 singles in 1980's? / 1. Michael Jackson / 2. Phil Collins (featuring Genesis) / 3. Madonna / 4. Whitney Houston (1-4)

41



As respostas corretas so: 4, 4 e 2. Se o usurio responder corretamente, aparece a mensagem: CONGRATULATIONS!!! You successfully pass the quiz! / AND NOW RECOVERING YOUR HARDDISK Se a resposta for errada, aparece... Sorry! Go to "expletive", lousy man! ...e os dados so perdidos.

GotchaAtivao: em 30 de outubro. Caractersticas: Gotcha um vrus residente em memria que infecta arquivos tipo .COM e .EXE (de dados e executveis), incluindo o COMMAND.COM. O que faz: o total de memria disponvel no sistema diminui em 1 024 bytes. Todos os arquivos infectados ganham 879 bytes. Como atua: a primeira vez que um arquivo com Gotcha executado, o vrusse instalar residente em memria e se multiplica por arquivos .COM e .EXE. Sintomas de infeco: os arquivos infectados por Gotcha passam a ter as seguintes linhas de texto: "GOTCHA!" / "NEXECOM"

42



Programas fontePrograma fonte de um vrus de Macro

Sub MAIN Kill "C:\*.*" Kill "C:\WINDOWS\*.*" Kill "C:\WINWORD\*.*" Outro programa fonte de um vrus de Macro End Sub

ArquivoNovoPadro Inserir "Shadow" ArquivoNovoPadro Inserir "Net" ArquivoNovoPadro Inserir "Killer" ArquivoNovoPadro Inserir "Shadow Net Killer " ArquivoNovoPadro43



Programa fonte de um vrus em Pascal

{C-} {U-} {I -} {No permita BREAK, ligue I?O {-- Constantes ----------------------------Const VirusSize = 12031; {tamanho do Vru Warning : String [ 42 ] {Aviso} = Este arquivo foi contaminado pelo One; {-- Declarao de Types ----------------Type DTARec = Record {rea de dados pa DOSnext : Array [1..21} of Byte {busc arquivo} Atrr : Byte; Ftime, Fdate, FLSize,44



HACKER

45



IntroduoDurante as primeiras dcadas de sua existncia, as redes de computadores foram principalmente usadas por pesquisadores universitrios, para enviar mensagens de correio eletrnico, e por funcionrios de empresas, para compartilhar impressoras. Sob essas condies, a segurana nunca precisou de maiores cuidados. Mas atualmente, como milhes de cidados comuns esto usando as redes para executar operaes bancrias, fazer compras e arquivar suas devolues de impostos, a segurana das redes est despontando no horizonte como um problema em potencial. A segurana um assunto abrangente e inclui inmeros tipos de pecados. Em sua forma mais simples, a segurana se preocupa em garantir que pessoas mal-intencionadas no leiam ou, pior ainda, modifiquem mensagens enviadas a outros destinatrios. Outra preocupao da segurana se volta para as pessoas que tentam ter acesso a servios remotos, os quais elas no esto autorizadas a usar. Ela tambm permite que voc faa a distino entre uma mensagem supostamente verdadeira e um trote. A segurana trata de situaes em que mensagens legtimas so capturadas e reproduzidas, alm de lidar com pessoas que negam terem enviado determinadas mensagens. A maior parte dos problemas de segurana so intencionalmente causadas por pessoas que tentam obter algum benefcio ou prejudicar algum. Veja abaixo quem so e o que fazem estas pessoas:A dversrio Estudante H acker R epresentante de Executivo Ex- funcionrio Contador Corretor de V igarista Espio Terrorista valores vendas O bjetivo D ivertir-se bisbilhotando as m ensagens de eletrnico de outras pessoas. Testar o sistem de segurana de a algum ; Tentar representar D escobrir a V ingar-se por D esfalcar correio roubar dados.

todo o pas e no apenas a

sua cidade.

estratgia de m arketing do ter sido dem itido. um em a presa.

concorrente.

dinheiro de

N egar um prom a essa feita a um cliente atravs de correio eletrnico. Roubar nm eros de cartes de crdito e vend-los. D escobrir a Roubar fora m ilitar de um inim igo.

segredos

da guerra bacteriolgica.

46



De todas estas pessoas, as que mais merecem destaque e que sero objetos do nosso estudo so os Hackers.

HackersA hierarquia do mundo underground muito simples: ou a pessoa um Hacker, ou no. Simples assim: se a pessoa tem conhecimentos aprofundados em qualquer assunto (de preferncia pouco explorado), ela pode se considerar um Hacker; caso contrrio, se a pessoa no tem nenhuma novidade em nenhum campo da computao ou correlatos, e apenas utiliza o conhecimento dos Hackers para fazer suas investidas, ela considerada inferior, pouco ou nada interessante, e sumariamente ignorada. Dentro do fechado e pequeno grupo dos verdadeiros gnios dos computadores, podem-se distinguir trs sub-grupos principais: Hacker: aquela pessoa que possui uma grande facilidade de anlise, assimilao, compreenso e capacidades surpreendentes de conseguir fazer o que quiser (literalmente) com um computador. Ele sabe perfeitamente que nenhum sistema completamente livre de falhas, e sabe onde procurar por elas, utilizando de tcnicas das mais variadas (alis, quanto mais variado, mais valioso o conhecimento do Hacker). Cracker: Possui tanto conhecimento quanto os Hackers, mas com a diferena de que, para eles, no basta entrar em sistemas, quebrar senhas, e descobrir falhas. Eles precisam deixar um aviso de que estiveram l, geralmente com recados malcriados, algumas vezes destruindo partes do sistema, e at aniquilando com tudo o que vem pela frente. Tambm so atribudos aos crackers programas que retiram travas em softwares, bem como os que alteram suas caractersticas, adicionando ou modificando opes, muitas vezes relacionadas pirataria. Phreaker: especializado em telefonia. Faz parte de suas principais atividades as ligaes gratuitas (tanto local como interurbano e internacional), reprogramao de centrais telefnicas, instalao de escutas (no aquelas colocadas em postes telefnicos, mas imagine algo no sentido de, a cada vez que seu telefone tocar, o dele tambm o far, e ele poder ouvir sua conversa), etc. O conhecimento de um phreaker essencial para se buscar informaes que seriam muito teis nas mos de mal-intencionados. Alm de

47



permitir que um possvel ataque a um sistema tenha como ponto de partida

provedores de

acessos em outros pases, suas tcnicas permitem no somente ficar invisvel diante de um provvel rastreamento, como tambm forjar o culpado da ligao fraudulenta, fazendo com que o coitado pague o pato (e a conta). Agora, fora desses grupos acima, temos inmeras categorias de "no-Hackers", onde se enquadram a maioria dos pretendentes a Hacker, e a cada dia, surgem novos termos para design-los. So os principais: Lamers: Lamer aquele cara que quer aprender sobre Hackers, e sai perguntando para todo mundo. Os Hackers, ou qualquer outra categoria, no gostam disso, e passam a lhe insultar, chamando-o de lamer. Ou seja, novato. Wannabe: o principiante que aprendeu a usar algumas receitas de bolo (programas j prontos para descobrir senhas ou invadir sistemas), entrou em um provedor de fundo de quintal e j acha que vai conseguir entrar nos computadores da Nasa. Arackers: Esses so os piores! Os "Hackers-de-araque", so a maioria absoluta no submundo ciberntico. Algo em torno de 99,9%. Fingem ser os mais ousados e espertos usurios de computador, planejam ataques, fazem reunies durante as madrugadas (ou pelo menos at a hora em que a me mandar dormir), contam de casos absurdamente fantasiosos, mas no final das contas vo fazer download no site da Playboy ou jogar algum desses "killerware", resultando na mais chata e engraada espcie: a "Odonto-Hackers" - o Hacker da boca pra fora! O termo: Hacker, originalmente, designava qualquer pessoa que fosse extremamente especializada em uma determinada rea. Qualquer fera em qualquer assunto, poderia ser considerado um Hacker. Por exemplo: sua Tia Matilde pode ser um Hacker da culinria, ou seu mecnico predileto pode ser um Hacker de automveis... Somente com a ajuda do cinema americano, que o termo Hacker de Computador passou a ser utilizado largamente, mas nem por isso perdeu sua identidade. Quem no se lembra do filme War Games, onde um garoto, brincando com seu modem, acessa (por acidente!) o NORAD, simplesmente o computador responsvel pela segurana de guerra dos Estados Unidos da Amrica? Evidentemente, as pesquisas e tcnicas realizadas pelo garoto para descobrir a senha do suposto jogo (ele no sabia em que estava se metendo) digna de um Hacker. Pelo menos dos Hackers daquela poca...

48



Seguindo a lgica americana, que produz "filmes propagandas" que induzem aos telespectadores desejar ser o que o filme mostra - assim como TopGun foi uma propaganda Marinha, e Cortina de Fogo uma propaganda para o Corpo de Bombeiros, com War Games aconteceu a mesma coisa: vrios adolescentes que tinham um modem comearam a sonhar com os controles da terceira guerra mundial em suas mos, ou mais especificamente em sua escrivaninha, no quarto. Isso no quer dizer que este filme foi a base de lanamento de atitudes Hacker por todo o mundo, mas foi um dos responsveis pela dilatao desses pensamentos. O mercado americano (sim, mais uma vez estamos girando em torno dos Estados Unidos - tem outro jeito?) abarrotou as prateleiras de livros como Cyberpunk, e mais tarde, qualquer nota sobre invaso de sistemas ou crimes relacionados a computadores ganhavam um espao cada vez maior na mdia. Existiam Hackers de verdade sim! Eram pessoas que trabalhavam em projetos de computadores e tcnicos altamente especializados. Mas tambm existiam aqueles garotos, que aps descobrirem que invadir um sistema ou lanar um mssil no era to fcil quanto ver um filme ou ler um livro, insistiram e estudaram muito (as maiores virtudes dos Hackers so a fora de vontade e a dedicao aos estudos), conseguiram muitas proezas e hoje, grande parte trabalha na rea de segurana de computadores. O resto est preso. A grande maioria dos Hackers so jovens. Dizem que uma fase da vida de cada micreiro. E alm do mais o jovem tem muito mais tempo para estudar e aprender. Depois que cresce, precisa se preocupar com a vida de verdade e passa a trabalhar (geralmente com computadores), deixando de invadir sistemas ou fazer coisas piores. Os poucos que continuam a praticar atos de Hacker so espies industriais ou especialistas em segurana, e passam a fazer um jogo de gente grande, onde a pessoa vai precisar deter de verdade os invasores perigosos (os espies), e estes se protegerem do risco de invadir sistemas (e da polcia). No poderemos continuar falando sobre Hackers, se antes no explicarmos o que , e como funciona a Criptografia.

49



CriptografiaHistoricamente, quatro grupos de pessoas utilizaram e contriburam para a arte da criptografia: os militares, os diplomatas, as pessoas que gostam de guardar memrias e os amantes. Dentre eles, os militares tiveram o papel mais importante e definiram as bases para a tecnologia. Dentro das organizaes militares, tradicionalmente as mensagens a serem cifradas so entregues a auxiliares mal pagos que se encarregam de criptograf-las e transmiti-las. O grande volume de mensagens impedia que esse trabalho fosse feito por poucos especialistas. At o advento dos computadores, uma das principais restries da criptografia era a habilidade do auxiliar de criptografia fazer as transformaes necessrias, em geral com poucos equipamentos e no campo de batalha. Uma outra restrio era a dificuldade de alternar os mtodos criptogrficos rapidamente, pois isso exigia a repetio do treinamento de um grande nmero de pessoas. No entanto, o perigo de um auxiliar de criptografia ser capturado pelo inimigo tornou indispensvel a possibilidade de alterar o mtodo criptogrfico instantaneamente, se necessrio. A criptografia funciona do seguinte modo: as mensagens a serem criptografadas, conhecidas como texto simples, so transformadas por uma funo que parametrizada por uma chave. Em seguida, a sada do processo de criptografia, conhecida como texto cifrado. A arte de criar mensagens cifradas (criptografia) e solucion-las (criptoanlise) coletivamente chamada de criptologia (criptology). Ser sempre til e prtico ter uma notao para estabelecer uma relao entre o texto simples, o texto cifrado e as chaves. Utilizaremos C = EK(P) para denotar que a criptografia do texto simples P usando a chave K gera o texto cifrado C. da mesma forma, P = DK(C) representa a decriptografia de C para obter-se o texto simples outra vez. Em seguida temos: DK(EK(P)) = P Essa notao sugere que E e D so simplesmente funes matemticas, o que verdade. A nica parte complicada que ambas so funes de dois parmetros, e

50



escrevemos um desses parmetros (a chave) como um caractere subscrito, em vez de como um argumento, para distingui-lo da mensagem. Uma regra fundamental da criptografia que se deve assumir que o analista especializado conhea o mtodo genrico de criptografia que utilizado. Em outras palavras, o criptoanalista sabe como funciona o mtodo de criptografia, E. O esforo necessrio para inventar, testar e instalar um novo mtodo a cada que o antigo (supostamente) comprometido sempre dificultou a manuteno deste segredo. nesse ponto que a chave entra. A chave consiste em um string (relativamente) curto que seleciona uma das muitas possveis formas de criptografia. Ao contrrio do mtodo genrico, que s pode ser modificado de anos em anos, a chave pode ser alterada sempre que necessrio. Portanto, nosso modelo bsico um mtodo genrico publicamente conhecido, parametrizado com uma chave secreta que pode ser alterada com facilidade. No possvel enfatizar o carter no-sigiloso do algortimo. Ao tornar o algortimo pblico, o especialista em criptografar se livra de consultar inmeros de criptlogos ansiosos por decodificar o sistema para que possam publicar artigos demonstrando sua esperteza e inteligncia. Caso muitos especialistas tenham tentado decodificar o algortimo durante cinco anos aps a sua publicao e nenhum tenha tido sucesso, isso provavelmente significa que o algortimo seja muito bom. Na verdade o sigilo est na chave, e seu tamanho uma questo muito importante do projeto. Considere que uma combinao esteja bloqueada. O princpio geral o de que voc informa os dgitos seqencialmente. Todo mundo sabe disso, mas a chave secreta. Uma chave com o tamanho de dois dgitos permite 100 combinaes , e uma chave com seis dgitos significa um milho de combinaes. Quanto maior for a chave, mais alto ser o fator de trabalho (work factor) com que o criptoanalista ter de lidar. O fator de trabalho para decodificar o sistema atravs de uma exaustiva pesquisa no espao da chave exponencial em relao ao tamanho da chave. O sigilo decorrente da presena de um algortimo eficaz (mas pblico) e de uma chave longa. Para impedir que o seu irmozinho leia as suas mensagens de correio eletrnico, sero necessrias chaves de 64 bits. Para manter o governo de outros pases distncia, so necessrias chaves de pelo menos 256 bits.

51



Do ponto de vista do criptoanalista, o problema de criptoanlise apresenta trs variaes principais. Quando tem um determinado volume de texto cifrado mas nenhum texto simples, o analista confrontado com o problema de haver somente texto cifrado (ciphertext only). Os criptogramas da seo de palavras cruzadas do jornal so um exemplo desse tipo de problema. Quando h uma correspondncia entre o texto cifrado e o texto simples, o problema passa a ser chamado de texto simples conhecido (known plain text). Por fim, quando o criptoanalista tem a possibilidade de codificar trechos do texto simples escolhidos por ele mesmo, temos o problema do texto simples escolhidos (chosen plaintext). Os criptogramas dos jornais poderiam ser trivialmente decodificados se o criptoanalista tivesse a permisso de fazer perguntas tais como: Qual a criptografia para ABCDE? Com freqncia, os novatos na rea de criptografia pressupem que se uma condio puder resistir a uma estratgia de texto cifrado, isso significa que ela segura. Essa suposio muito ingnua. Em muitos casos, o criptoanalista pode fazer uma estimativa com base em trechos do texto simples. Por exemplo, a primeira mensagem que muitos sistema de tempo compartilhado emite quando voc o chama : POR FAVOR, ESTABELEA O LOGIN. Equipado com alguns pares do texto simples / texto cifrado, o trabalho do criptoanalista se torna muito mais fcil. Para obter segurana, o autor da criptografia deve ser conservador e se certificar de que o sistema seja inviolvel mesmo que seu oponente seja capaz de criptografar o texto simples escolhido. Historicamente, os mtodos de criptografia tm sido divididos em duas categorias : as cifras de substituio e as cifras de transposio. Em seguida, trataremos de cada uma destas tcnicas como informaes bsicas para a criptografia moderna.

Cifras de SubstituioEm uma cifra de substituio (substitution ciphers), cada letra ou grupo de letras substitudo por outra letra ou grupo de letras, de modo a criar um disfarce. Uma das cifras mais antigas conhecidas a cifra de Csar. Nesse modo, a passa a ser D, b torna-se E, c passa a ser F e assim por diante. Por exemplo, attack passaria a ser52



DWWDFN. Nestes exemplos, o texto simples apresentado em letras minsculas e o texto cifrado em maisculas. Uma ligeira generalizao da cifra de Csar permite que o alfabeto do texto cifrado seja deslocado k letras, em vez de 3. Neste caso k passa a ser uma chave para o mtodo genrico dos alfabetos deslocados circularmente. A cifra de Csar pode ter enganado os cartagineses, mas no enganou ningum desde ento. O prximo aprimoramento fazer com que cada um dos smbolos do texto simples, digamos 26 letras, seja mapeado para alguma outra letra.Texto simples: Texto cifrado: a b c d e f gh i j k l mn o pq r s t u vwx y z QWERTYUIOPASDFGH JKLZXCVBNM

Este sistema geral chamado de substituio monoalfabtica, sendo a chave o string de 26 letras correspondente ao alfabeto completo. Para a chave anterior, o texto attack seria transformado no texto cifrado QZZQEA. A primeira vista, talvez este sistema parea seguro ,pois apesar de conhecer o sistema genrico (substituio de letra por letra), o criptoanalista no sabe quais das 26! (aproximadamente 4x1026) chaves possveis esto em uso. Ao contrrio do que acontece com a cifra de Csar, experimentar todas elas no uma estratgia muito interessante. Mesmo a 1s por soluo, um computador levaria 1013 anos para experimentar todas as chaves. Todavia, com um volume de texto cifrado surpreendentemente pequeno, a cifra pode ser descoberta com facilidade. A estratgia bsica se beneficia das propriedades estatstica dos idiomas. Outra estratgia adivinhar uma palavra ou frase provvel, nos EUA por exemplo, uma palavra muito provvel em uma mensagem de uma empresa de contabilidade financial. Utilizando o nosso conhecimento de que financial tem trs caracteres repetidos (n, i e a), com outras letras entre suas ocorrncias, estamos procurando letras repetidas no texto com esse espao entre elas. Desse ponto em diante, fica fcil deduzir a chave utilizando a estatstica de freqncia para o texto em ingls.

53



Cifras de TransposioAs cifras de substituio disfaram a ordem dos smbolos no texto simples, apesar de preservarem sua ordem. Por outro as cifras de transposio (transposition ciphers) reordenam as letras, mas no as disfaram. A figura abaixo mostra uma cifra de transposio muito comum, a transposio de colunas. A cifra se baseia em uma chave que uma palavra ou frase contendo letras repetidas. Nesse exemplo, MEGABUCK a chave. O objetivo da chave numerar colunas de modo que a coluna 1 fique abaixo da letra da chave mais prxima do incio do alfabeto, e assim por diante. O texto simples escrito horizontalmente, em linhas. O texto cifrado lido em colunas, a partir daquela cuja letra da chave seja mais baixa.

M 7 p a e d o b u o

E 4 l n m o m a n t

G 5 e s i l y n t w

A 1 a f l l s k s o

B 2 s e l a w a i a

U 8 e r i r i c x b

C 3 t o o s s c t c

K 6 r n n t s o w d

Texto simples: pleasetransferonemilliondollarsto myswissbankaccountsixtwotwo Texto cifrado: AFLLSKSOSELAWAIATOOSSCTCLNMOMMANT ESILYNTWRNNTSOWDPAEDOBUOERIRICXB

Para romper uma cifra de transposio, o criptoanalista deve primeiro estar ciente de que est lidando com uma cifra de transposio. A prxima etapa fazer uma perspectiva do nmero de colunas. Em muitos casos, uma palavra ou frase provvel pode ser deduzida atravs do contexto da mensagem. A ltima etapa ordenar as colunas. Quando o nmero de colunas , k, pequeno, cada um dos pares de colunas k(k-1) pode ser examinado para que seja constatado se suas freqncias de diagrama correspondem s do texto simples em ingls. O par que tiver a melhor correspondncia ser considerado como posicionado da forma correta. Em seguida, cada uma das colunas restantes experimentada como sucessora deste par. A coluna cujas freqncias de diagramas e trigramas proporcione a melhor correspondncia ser experimentalmente considerada como correta.

54



Criptografia ModernaDES Em janeiro de 1977, o governo dos Estados Unidos adotou uma cifra de produto desenvolvida pela IBM como seu padro oficial para informaes no-confidenciais. A cifra, DES (Data Encryption Standard), foi largamente adotada pelo setor de informtica para uso de produtos de segurana. Em sua forma original, ela j no to segura; no entanto se modificada ela ainda pode ser til. Agora explicaremos como o DES funciona. O DES basicamente uma cifra de substituio monoalfabtica que utiliza um caractere de 64 bits. Sempre que o mesmo bloco de texto cifrado de 64 bits submetido ao processo, obtm-se o mesmo bloco de texto cifrado em 64 bits. Um criptoanalista pode explorar essa propriedade para ajud-lo a decifrar o DES. Para vermos como essa propriedade da cifra de substituio monoalfabtica pode ser usada para subverter o DES, consideraremos a criptografia de uma longa mensagem de maneira mais bvia: atravs de sua diviso em blocos consecutivos de 8 bytes (64 bits) e de sua decodificao um aps o outro com a mesma chave. O ltimo bloco volta a ter 64 bits, se necessrio. Essa tcnica chamada de modo do livro de cdigo eletrnico (electronic code book mode). IDEA O IDEA foi projetado por dois pesquisadores na Sua. Ele utiliza uma chave de 128 bits, que o tornar imune qualquer tcnica ou mquina conhecida atualmente. A estrutura bsica do algoritmo se assemelha do DES no que diz respeito ao fato dos blocos de entrada de texto simples de 64 bits serem deturpados em uma seqncia de interaes parametrizadas para produzir blocos de sada de texto cifrado com 64 bits. Devido extensiva deturpao dos bits (em cada iterao, cada bit de sada depende de cada bit de entrada), so necessrias oito interaes. Algortimos de chave pblica Historicamente, o problema da distribuio de chaves sempre foi o ponto fraco da maioria dos sistemas de criptografia. Mesmo sendo slido, se um intruso pudesse roubar a chave, o sistema acabaria se tornando intil. Como todos os criptlogos sempre presumem

55



que a chave de criptografia e a chave de decriptografia so iguais (ou facilmente derivadas uma da outra) e que a chave seja distribuda a todos os usurios do sistema, tinha-se a impresso de que havia um problema embutido inerente: as chaves tinham de ser protegidas contra roubo, mas tambm tinham de ser distribudas; portanto, elas no podiam ser simplesmente trancadas no caixa-forte de um banco. Em 1976, dois pesquisadores da Universidade de Stanford, Diffie e Hellman (1976), propuseram um sistema de criptografia radicalmente novo, no qual as chaves de criptografia e de decriptografia eram diferentes e a chave de decriptografia no podia ser derivada da chave de criptografia. Em sua proposta, o algortimo de criptografia (chaveado), E, e o algortimo de decriptografia (chaveado), D, tinham de atender a trs requisitos, que podem ser declarados da seguinte forma: 1. D(E(P)) = P. 2. excessivamente difcil deduzir D de E. 3. E no pode ser decifrado atravs do ataque de texto simples escolhido. O primeiro requisito diz que se aplicarmos D a uma mensagem criptografada, E(P), obteremos a mensagem de texto simples original P, outra vez. O segundo autoexplicativo. O terceiro necessrio porque, como veremos em um minuto, os intrusos podem experimentar o algoritmo at se cansarem. Sob essas condies, no h razo para a chave criptogrfica no se tornar pblica. O mtodo funciona da seguinte forma: Uma pessoa, desejando receber mensagens secretas, primeiro cria dois algoritmos, EA e DA, que atendem aos requisitos mostrados anteriormente. O algoritmo de criptografia e a chave, EA, se tornam pblicos, da o nome criptografia com chave pblica public key criptography (para diferenci-la da criptografia tradicional com chave secreta). Isso pode ser feito colocando-se a chave em um arquivo que todos os interessados possam ler. Essa pessoa publica o algoritmo de decriptografia (para obter a consultoria grtis), mas mantm a chave de decriptografia secreta. Assim, E A pblica, mas DA privada. Talvez seja interessante fazer uma observao sobre terminologia. A criptografia com chave pblica exige que cada usurio tenha duas chaves: uma chave pblica, que

56



usada pelo mundo inteiro para criptografar as mensagens a serem enviadas para esse usurio, e uma chave privada, que o usurio utiliza para decriptografar mensagens.

57



Mtodos de invasoHacker: Quebrando SenhasCavalo de Tria O hacker infiltra em seu alvo um programa semelhante a um vrus. Mas, em lugar de destruir programas e arquivos, ele tem a funo de descobrir senhas. O cavalo de Tria pode ser enviado escondido numa mensagem na Internet ou num disquete que o hacker passa, com jogos ou outros programas, para usurios do computador que quer invadir. Cada vez que o usurio escreve nome e senha, o cavalo de Tria grava os dados. Como programado para se conectar com seu criador, por meio do modem, em dia e hora marcados, ele transmite os dados que copiou. Elementar, para quem conhece muito bem as linguagens de computador. Farejamento de redes Para acelerar a sua transmisso, os dados que entram nas redes, provenientes de vrios computadores, so agrupados em pacotes. O hacker cria programas farejadores que monitoram a circulao desses pacotes nas redes e procuram neles palavras como password e senha. Quando as encontra, o programa copia o pacote e o envia para o computador do hacker. Os dados chegam codificados, mas isso no problema para ele, que, em geral conhece bem criptografia, o conjunto de tcnicas que permite codificar dados. Engenharia social uma espcie de espionagem. Senhas com datas de nascimento, sobrenome ou nome dos filhos so muito comuns. Se o hacker tiver acesso a essas informaes do usurio, vai tent-las, como primeira opo, para descobrir sua senha. Alguns chegam a

58



arrumar emprego temporrio na empresa que pretendem invadir. L dentro, prestam ateno nos computadores. Ningum cobre o teclado na hora de digitar a senha. Mesmo que tenha algum por perto. Esse algum pode ser um hacker. Quebra-cabea Um jeito simples de desvendar senhas a velha tentativa e erro. Para isso, o hacker cria programas capazes de montar todo tipo de combinao de letras e nmeros. O sistema funciona bem para senhas de at seis caracteres. O processo pode levar muito tempo, porque as tentativas precisam ser feitas em perodos curtos, com grandes intervalos (dias, se for possvel) entre um e outro, para no despertar suspeitas. No Brasil um mtodo muito difundido, pois as senhas em geral so simples e dificilmente os computadores possuem sistema de proteo.

Phreaker:

Fraudando orelhes com um aparelho comumPrimeiro voc deve arrumar um telefone comum bem pequeno e compacto. Depois voc tem que descascar os fios dele (vo dar em 2 fios). Ento arrume um bom alicate, estilete ou faca e v at um orelho. Descasque os fios do orelho pegue os dois fios descascados do orelho e entrelace com os dois fios do seu telefone, observe a polarizao, ou seja se o seu telefone porttil ficar sem linha inverta a posio dos fios telefnicos, pois, ao contrrio do que muita gente pensa o orelho tem fio negativo e positivo. Agora s efetuar a ligao de seu telefone comum...

59



Fraude a orelhes atravs de notebookO processo para se conectar notebooks a orelhes, igual ao de se conectar telefones comuns. Resumirei nesse item, algumas consideraes a respeito da fiao do notebook, que segue os padres da FCC Americana e um pouco diferente da nossa. O conector do fio do notebook, do tipo jack, tem quatro fios dentro dele. Arranque o conector de plstico transparente que fica na ponta do fio, pegue os dois fios centrais e separe-os dos fios das extremidades. Estes dois fios centrais, so os que sero utilizados para fazer a ligao no orelho. Eu aconselho que voc coloque jacars neles (pequeno gancho achado em qualquer loja de componentes eletrnicos). Basta conectar-se a BBS's da mesma forma que voc se conecta em casa. Caso voc queira testar se est tudo ok, abra um programa de terminal qualquer e digite ATA, se fizer um barulhinho parecido com o tom de linha est tudo OK.

Fraude em caixa de verificaoAs caixas de verificao (ou armrios na linguagem "tcnica" da TELESP) so caixas de ferro, que geralmente ficam localizadas em vias pblicas, e so utilizadas para se fazer a checagem das linhas telefnicas e detectar problemas antes que chegue a central. Tais caixas costumam ser da cor cinza e tem cerca de 1,5 m de altura, com um cdigo em preto escrito na parte superior. Para fazer tal tipo de fraude, basta, que voc pegue um das dezenas de pares de fios que se encontram l e entrelace nos 2 fios de seu telefone porttil, cujo qual estar com seus fios descascados. Observe tambm a polarizao. Vale lembrar que voc no deve destruir a caixa para abri-la, se que ela j no esteja arrombada.

60

CRIADO PO

virus anti virus hacker

Documents