Curtir: 
Tutorial de Vírus e Worms
2. Vírus de Boot: Definição, tipos e características
3. Vírus de Arquivo: Definição, tipos e características
4. Vírus de Macro: Definição, tipos, características e info
5. Defendendo-se dos vírus: Regras e procedimentos
6. Alarme Falso: Causas mais comuns de alarmes falsos
7. É vírus se...: Regras básicas para confirmar a presença de vírus
8. Não é vírus se...: Regras básicas para excluir a presença de vírus
9. Em caso de dúvida: Como agir em caso de suspeita
10. Infecção confirmada Ações de emergência
2.VÍRUS DE BOOT
2.1Definição
Os VÍRUS DE BOOT (boot virus) se fixam num setor onde se encontra o código que o micro executa automaticamente quando é ligado (boot frio) ou é "ressetado" (boot quente). Desta forma, os vírus são carregados e executados toda vez que ocorrer um boot. Após terem sido carregados, eles carregam o código de boot original, o qual foi deslocado pelo vírus para outra localidade.
2.2Tipos
Existem os infectantes do setor de boot e os infectantes do setor de boot mestre.
Infectantes do Setor de Boot
Todo drive lógico, seja HD ou disquete, possui um setor de boot. Mesmo os drives sem sistema (com os quais não é possível inicializar o sistema) o possuem. Este setor de boot contém informações específicas relativas à formatação do disco e aos dados nele contidos, além de conter um pequeno programa chamado "programa de boot" (que carrega os arquivos do sistema DOS). O programa de boot é que nos mostra a mensagem familiar de "Non-system Disk or Disk Error" se os arquivos do sistema DOS não estiverem presentes. É também o programa que é infectado por vírus. Você se contamina com um vírus de boot quando deixa um disquete no drive e re-inicializa sua máquina. Quando o programa de boot do disquete é lido e executado, o vírus é transferido para a memória e depois infecta seu HD. Lembre-se: como todo disco tem um setor de boot, é possível (e comum) infectar uma máquina à partir de um disco de dados. Todos "vírus de boot" contaminam o setor de boot de discos; alguns deles, como o Form, também infectam o setor de boot de discos rígidos. Outros vírus de boot infectam o setor de boot mestre (master boot sector) do HD.
Infectantes do Setor de Boot Mestre
Todo primeiro setor físico dos discos rígidos (Side 0, Track 0, Sector 1) contém o Registro de Boot Mestre (Master Boot Record ou MBR) e a Tabela de Partição. O Registro de Boot Mestre contém um pequeno programa denominado "Programa de Boot Mestre" (Master Boot Program), o qual verifica os valores da tabela de partição à procura da localização inicial da partição de boot. Depois, informa essa localização ao sistema para que ele possa se posicionar e executar o código encontrado. Assumindo que seu disco esteja corretamente configurado, o que ele encontra nesta localização (Lado 0, Trilha 0, Setor 1) é um setor de boot válido. Em disquetes, estes mesmos vírus infectam os setores de boot.
Você se contamina com um vírus de Registro de Boot Mestre exatamente da mesma maneira que se contamina com um vírus de setor de boot - deixando um disquete infectado no drive e re-inicializando sua máquina. Quando o programa do setor de boot é lido e executado, o vírus é transferido para a memória e infecta a MBR do seu HD. Novamente, como todo disco tem um setor de boot, é possível (e comum) infectar uma máquina através de um disco de dados.
2.3 Características
São todos escritos em linguagem assembly.
Somente programadores especializados são capazes de criá-los.
Seu número não aumenta rapidamente por serem difíceis de criar.
São criados para atuar em determinado ambiente mas podem causar estragos em qualquer sistema.
3.0 VÍRUS DE ARQUIVO
3.1 Definição
Os VÍRUS DE ARQUIVO (file virus) se fixam em arquivos de programas executáveis de modo que, quando estes programas infectados são chamados para execução, o código do vírus é executado primeiro. Após o carregamento e execução do vírus, ele carrega e executa o programa por ele infectado.
3.2 Tipos
Estes são vírus que se agregam (ou substituem) arquivos .COM e *****. Em alguns casos podem infectar arquivos com extensão .SYS, .DRV, .BIN, .OVL e .OVY. Os vírus de arquivo mais comuns são vírus residentes, indo para a área de memória na primeira vez em que forem executados e clandestinamente assumindo o controle do computador. Tais vírus comumente infectam programas adicionais quando são executados. Existem, também, muitos vírus não residentes, os quais simplesmente infectam um ou mais arquivos assim que um arquivo infectado seja executado.
3.3 Características
Geralmente são escritos em linguagem assembly, porém podem ser escritos em linguagens de alto nível, como a linguagem C.
Quando em assembly, dependem de programadores especializados para serem criados. Quando em linguagem de alto nível, dependem de programadores menos especializados para serem criados.
Seu número é maior e aumenta mais rapidamente que o dos vírus de boot pela maior facilidade de criação utilizando-se liguagens de alto nível.
São plataforma-dependentes, ou seja, só atuam no ambiente para o qual foram criados.
4.0 VÍRUS DE MACRO
4.1 Definição
Os VÍRUS DE MACRO (macro virus) vinculam suas macros a modelos de documentos (templates) e a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instruções nele contidas, as primeiras instruções executadas serão as do vírus.
Vírus de macro são parecidos com outros vírus em vários aspectos: são códigos escritos para que, sob certas condições, este código se "reproduza", fazendo uma cópia dele mesmo. Como outros vírus, eles podem ser escritos para causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer.
4.2 Tipos
Existe uma enorme variedade de vírus de macro porque estes nada mais são do que um conjunto de instruções em WordBasic ou qualquer outra linguagem de macro. Residem em documentos ou modelos de documento. Apesar de não suspeitarmos que documentos possam ser infectados, qualquer aplicação que dê suporte a macros que rodem automaticamente constitui-se numa plataforma susceptível a vírus de macro. Como atualmente a troca de documentos é mais frequente (através de redes e da Internet) do que a de disquetes, a tendência é de que os vírus documento-dependentes venham a dominar no futuro.
4.3 Características
Vírus de boot são todos escritos em linguagem assembly; vírus que infectam programas executáveis geralmente são escritos em linguagem assembly, porém podem ser escritos em linguagens de alto nível, como a linguagem C. Vírus de macro são sempre escritos em alguma linguagem de macro.
O número de diferentes vírus de macro está aumentando rapidamente. Isto é inevitável, uma vez que vírus de macro são mais fáceis de escrever que vírus escritos em linguagem assembly e, sem sombra de dúvida, existem mais usuários capazes de escrever algumas macros do que os que saibam escrever programas em assembly.
Para se contaminar com um vírus de boot você precisa (re-)inicializar sua máquina com um disquete que esteja infectado com um vírus de boot. Para pegar um vírus de arquivo, você precisa executar uma cópia do programa infectado. Para se contaminar com um vírus de macro, tudo o que você precisa é dar um duplo clique num documento infectado, para vê-lo. Quando o documento é carregado, suas macros são executadas e você é infectado.
Os vírus de macro estão se disseminando mais rapidamente que qualquer outro tipo de vírus na história. Por exemplo, o Word.Concept, que apareceu a primeira vez em Julho de 1995, já era o responsável por aproximadamente 25% de todas as infecções relatadas em 1 de Abril de 1996 ! Foi detectado nos EUA, UK, Finlândia, Suécia, Rússia, França, Alemanha, Holanda, Turquia e Canadá. Nunca nenhum vírus de boot ou vírus de arquivo disseminou-se tão rapidamente.
Devido ao fato dos vírus de macro serem escritos numa linguagem de macro, um determinado vírus de macro será executado em qualquer ambiente que entenda e interprete suas instruções de macro. Desta forma, Word.Concept, que é escrito em WordBasic, é capaz de infectar documentos se você estiver utilizando a versão em inglês do Word porque ele usa duas macros (AutoOpen e FileSaveAs), as quais só são interpretadas pela versão em inglês do Word. No entanto, versões em inglês do Word podem rodar em Macintosh, em DOS, em Windows, wm Windows 95 e Windows NT, o que possibilita a infecção de todas essas plataformas. A existência de aplicativos para várias plataformas abre a porta para os vírus multi-plataforma - coisa que não é possível com vírus que infectam programas executáveis.
Vírus de macro são sempre específicos para determinados aplicativos. Por exemplo, um vírus chamado Laroux só infectará usuários do Excel; o Green Stripe só infectará usuários do Ami Pro. Vírus de macro do Word só infectarão o Microsoft Word. Tal fato não é grande consolo para os que já estejam infectados ou para os possuidores desses aplicativos populares, mas serve para assegurar aos usuários de outros aplicativos que: usuários de WordPerfect não podem ser infectados por vírus de macro do Word. Usuários de 1-2-3 não podem ser infectados por um vírus de macro do Excel...
4.4 Info
Vírus de macro não são nada além do que um conjunto de macros. As macros precisam ser armazenadas onde os aplicativos normalmente armazenam suas próprias macros. No caso do Word, as macros são armazenadas como um documento, em modelos ou com qualquer outra extensão. Entretanto, um arquivo com a estrutura de um modelo (que contenha macros) também pode conter texto e aparecer na tela como se fosse um documento padrão. E um modelo deste tipo pode ser arquivado com qualquer extensão. É por isso que, tipicamente, os vírus de macro do Word aparecem num computador como um modelo arquivado com a extensão .DOC. Quando este arquivo é carregado ele se comporta como um modelo (as macros são executadas) e como um documento (você vê o texto que ele contém).
Alguns vírus de macro do Word não fazem muito mais do que infectar o modelo global, NORMAL.DOT. Outros convertem documentos em modelos com extensão .DOC, que são modelos-documentos infectados. Como os usuários não têm como saber se um arquivo com extensão .DOC é um modelo contendo texto ou um documento verdadeiro, o vírus pode invadir facilmente uma máquina sem que o usuário o perceba.
Sua probabilidade de pegar um vírus de macro é diretamente proporcional ao número de documentos novos e desconhecidos que você lê diariamente. Se você possui um sistema razoavelmente fechado, sua chance de infecção é bastante reduzida. Se você dá duplo-clique em dúzias de documentos novos diariamente, sua chance de infecção é muito mais alta.
A probabilidade de se infectar também depende da possibilidade de um documento que você examine estar infectado. Até o momento, apenas dois locais relataram infecções pelo vírus Laroux. A não ser que você tenha contato com estes locais (um no Alasca e outro na África), sua chance de contrair este vírus é zero. Obviamente, à medida que este vírus se dissemine, dar um duplo-clique numa planilha nova vai se tornando cada vez mais arriscado.
5.0 DEFENDENDO-SE DOS VÍRUS
5.1 Regras
Já se falou muito sobre vírus de computador: como se disseminam, como se "pega" e como se livrar deles. Um dos grandes problemas são as informações parciais e as lendas, que se propagam tão rapidamente quanto os próprios vírus, e que deixam muita gente desorientada. Quem já não recebeu e-mails, aliás bem intencionados, avisando sobre a existência de um vírus devastador, dark ou devil qualquer coisa... ou sobre um screensaver aparentemente inócuo... ou... ou...
Além disso, a evolução dos próprios vírus fez com que conceitos "clássicos" de defesa tivessem que ser reformulados. Vamos camparar o ontem e o hoje:
Ontem
-Dizia-se que não havia perigo de infecção ao "olhar" um vírus.
-Afirmava-se que não havia possibilidade de se infectar através de um e-mail.
-Não havia a necessidade de rastrear "todos os arquivos" com programs anti-vírus porque não se encontraria documentos e bases de dados infectados.
Hoje
-Um vírus de macro, ao ser olhado através de um aplicativo de leitura (viewer), tem suas macros interpretadas e executadas, provocando a contaminação.
-Cuidado com documentos anexados a e-mails. Se contiverem um vírus de macro, o simples fato de abrir o documento provoca a infecção. (As mensagens de e-mails não estão infectadas e nem são fonte de perigo).
-Hoje, os vírus podem ser encontrados em qualquer arquivo com qualquer extensão (o Word, entre outros, permite que documentos tenham qualquer tipo de extensão).
Sempre
-Só instale e execute programas de fontes confiáveis.
Talvez pareça absurdo: Se prepare para ler apenas documentos que já tenham sido vistos previamente!
6.0 Alarme Falso
Antes de remover um vírus de um arquivo, de chamar o corpo de bombeiros ou de resolver tirar férias prolongadas, você precisa decidir se o que você tem é um vírus real ou um alarme falso (algumas vezes denominado de "falso positivo" - o programa antivírus indica a presença de um vírus inexistente). Alarmes falsos têm uma série de causas prováveis:
6.1 Rodar dois detectores de vírus em sequência.
Rodando um antivírus de baixa qualidade e, logo em seguida, outro de baixa qualidade, você pode provocar um alarme falso de vírus na memória. O antivírus 1 lê suas referências de um arquivo e as coloca na memória. Uma ou mais dessas referências foram copiadas de livros (como o Virus Bulletin), de onde outros produtores de antivírus também fazem cópias. (A maioria dos produtores copiam estas referências quando não conseguem obter um espécime do vírus). O antivírus 1 termina sua rotina e não limpa a memória. As referências continuam lá até serem sobre-escritas por outro programa. Agora o antivírus 2 é rodado e procura comparar suas próprias referências com o que encontra na memória. Acha uma referência coincidente e, por incrível que pareça, grita por socorro.
O antivírus 1 é "pobre" porque deixou strings não encriptadas na memória ao terminar a rotina de detecção. O antivírus 2 é "marreta" porque o vírus por ele anunciado certamente não poderia estar localizado onde descrito. Um vírus carregado na parte baixa nunca poderá ser encontrado na parte média ou alta da memória convencional; um vírus carregado na parte alta (logo abaixo dos 640K) nunca poderá ser encontrado na parte baixa.
Bons programas antivírus nunca deixam strings de referência na memória, permitindo a atuação de um segundo antivírus. Procuram por strings de rastreamento na memória de forma seletiva, ou seja, posição-dependente.
Nesta condição é simples decidir se o alarme é falso: registre o nome do vírus encontrado, faça uma re-inicialização segura (ou seja, um clean boot com disquete seguramente não infectado) e rode o antivírus 2 novamente, rastreando o drive inteiro. Se o vírus for real, este mesmo vírus recém-encontrado na memória será detectado no drive. Se isto não ocorrer, o alarme anterior foi um alarme falso.
6.2 Um antivírus transferindo seu dígito verificador (checksum) a outro.
Muitos antivírus adicionam códigos a arquivos para "inocular" os arquivos verificados. A inoculação é o processo de rastrear arquivos à procura de vírus utilizando strings de rastreamento e, posteriormente, adicionar aos arquivos rastreados um dígito verificador (checksum). Este dígito verificador pode ser a soma dos bytes do arquivo ou a soma dos bytes iniciais e, às vezes, dos bytes finais, do arquivo rastreado. Numa segunda verificação, o programa antivírus transforma-se num verificador de checksum, comparando a checksum corrente com a checksum agregada ao arquivo.
Quando um arquivo é inoculado, seu tamanho em bytes aumenta. Se, por acaso, este arquivo for o de um programa que faz sua própria checksum antes de carregar, notará que foi modificado e, usualmente, aborta a execução dando uma mensagem de que foi modificado. Se o programa não fizer uma auto-checagem, então um alarme falso pode ser gerado se dois antivírus tentarem inocular o mesmo arquivo. O segundo antivírus nunca terá problemas em efetuar a inoculação porque seu dígito verificador é calculado somando os bytes do programa e do código da primeira inoculação. O primeiro antivírus, porém, sempre indicará um problema porque o programa foi alterado e aumentou de tamanho depois da primeira inoculação. Em alguns casos, o primeiro inoculador é capaz de remover os efeitos do segundo inoculador.
Se você possui produtos de inoculação e faz um upgrade para outro produto, é muito importante remover as inoculações antigas antes de descartar o produto antigo. Lembre-se, apenas o inoculador original pode remover suas próprias inoculações.
6.3 Alarme falso causado por brincadeiras.
Programas-gozação ou brincadeira (joke programs) podem fazer com que as letras "escorreguem" na tela, que janelas com avisos estranhos apareçam "do nada" ou que "água foi detectada no seu drive A:". Estes programas não são vírus, mas os usuários acreditam com frequência de que sejam. Podem ser muito engraçados para quem os criou, porém...
Como distinguir programas-gozação de vírus? Existem muitas maneiras. Vírus raramente jogam mensagens na tela; programas-gozação sem mensagens "engraçadas" na tela não têm muita graça. Cerca de 60% dos vírus são residentes em memória; a maioria dos programas-gozação são simples programinhas não residentes chamados através de um batch file (arquivo de lote). E o mais importante: vírus se replicam (fazem cópias de si mesmos); programas-gozação não se replicam.
Programas-gozação podem ser detectados procurando-se alguma linha estranha no arquivo AUTOEXEC.BAT ou procurando-se por algum programa que não seja familiar. O programa MEM do DOS também pode auxiliar a encontrar o "joke program" na memória, se ele estiver residente. Não é possível "remover" o programa-gozação, é necessário apagar (deletar) o arquivo.
6.4 Alarme falso por hardware, software ou erro do usuário.
O hardware, o software e as dificuldades de usuários continuam sendo confundidas com vírus. "Minha impressora não está funcionando! Será um vírus?" pergunta o usuário antes mesmo de verificar se o cabo de força está fora da tomada. Muitas vezes, a distinção entre vírus e não-vírus é difícil. "PARITY ERROR" (erro de paridade) pode vir de uma máquina com um chip de memória avariado ou de um vírus que mostra essa mensagem. "Insira um XBurger no drive A:" é mais coisa para vírus. A distinção pode ser difícil ou fácil, mas o bom-senso deve sempre prevalecer!
7.0 É vírus se...
7.1 Regras
Existem várias regras que podem ser aplicadas para se determinar se um alerta é um alarme falso ou a se coisa ficou preta:
7.2 O anti-vírus indica a presença de um vírus que é relativamente comum.
Às vezes, programas anti-vírus dão alarmes falsos quando encontram vírus polimórficos, novos ou raros. Excepcionalmente dão alarmes falsos em se tratando de vírus comuns.
Anti-vírus que rastreiam os "jumps" de programas podem eventualmente dar alarmes falsos porque utilizam informações da posição das strings de referência e não somente as próprias strings de referência. A chance da string "ABCDEFGHIJ" existir em um arquivo não é zero, mas a chance de encontrá-la numa localização predefinida - no final de uma série de "jumps" - é essencialmente zero.
Anti-vírus heurísticos costumam dar alarmes falsos. Muitos programas, apesar de não estarem infectados, contém código de aparência viral. Os anti-vírus heurísticos, muito sensíveis, indicam a possibilidade de contaminação.
7.3 O anti-vírus encontra um vírus no COMMAND.COM.
Testar anti-vírus em todos os programas existentes é impraticável, mas possibilidade de um anti-vírus não ter sido testado num COMMAND.COM é muito remota. Já que mais de 1.900 vírus foram preparados para infectarem o COMMAND.COM, um alarme deveria ser levado a sério.
O anti-vírus encontra algo num arquivo ou num setor de boot que não foi detectado no dia anterior.
Qualquer alarme falso deveria ser um evento que se repete sob as mesmas condições (mesma configuração do anti-vírus, mesmos arquivos ou setores...). Se seu anti-vírus nunca deu um alerta e, após rastrear material já verificado, der um alarme ... é vírus!
7.4 O anti-vírus encontra duas ou mais instâncias do mesmo vírus na mesma máquina.
Vírus raramente são ermitões. Eles gostam de ter companhia na máquina e fazem seus próprios amigos.
7.5 Se você achar apenas um arquivo infectado por algum polimórfico exótico e rodar este arquivo repetidas vezes, você acaba obtendo um alarme falso ou então um vírus que não queira se expor - parecido com um alarme falso. Por outro lado, se 10 arquivos apresentam infecção pelo vírus XYZ, então pelo menos 10 arquivos estão contaminados por este vírus.
O anti-vírus detecta vírus no arquivo "ABC.COM" em uma máquina mas não no "ABC.COM" de outras máquinas.
Se fosse alarme falso, este deveria se repetir em todas as máquinas que tenham a mesma versão do arquivo indicado.
Reinicialize seu computador com um disquete limpo e compare o arquivo indicado como infectado com a mesma versão do arquivo do outro micro: o tamanho do arquivo infectado será maior (vírus parasitário) ou o arquivo infectado não funciona adequadamente (vírus sobreposto).
7.5 O arquivo suspeito é maior que em outros micros e não se utilizou um anti-vírus inoculante.
Vírus adicionam código aos programas infectados e código se mede em bytes. O menor vírus conhecido tem cerca de 30 bytes e o maior aproximadamente 15 Kb. Na média, os vírus adicionam cerca de 1.140 bytes aos arquivos - a grosso modo, 1 Kb.
Anote cuidadosamente essas diferenças sutis entre arquivos infectados e sadios. A diferença é que possibilita o diagnóstico.
Dois anti-vírus diferentes detectam algo num arquivo novo.
Algumas vezes os anti-vírus erram. Muitos anti-vírus deixam passar mais vírus do que detectam. A maioria não consegue rastrear todas as versões dos mais de 250 vírus polimórficos existentes. Nenhum deles parece se acertar com os nomes dos vírus. Sabendo disso, se dois anti-vírus indicam a presença do vírus X, ACREDITE!
8.0 Não é vírus se...
8.1 Como ter certeza de que, o que foi detectado, NÃO é um vírus? Aqui estão algumas regras para ajudar:
8.2 O antivírus acha apenas um arquivo infectado, que é um programa constantemente em uso.
Se o programa é usado com frequência, o "vírus" teve muitas chances de se reproduzir. Se ele falhou em se replicar, esbarrou na própria definição: código que faz cópias funcionalmente idênticas de si mesmo sem a permissão do usuário. Neste caso, não se trata de um vírus.
O antivírus encontra um vírus apenas em um arquivo de dados.
Os vírus podem adicionar código onde quer que encostem. Isto significa que seu cachorro está a salvo e que seus arquivos de dados, documentos e planilhas não. O MS-DOS, porém, não tem a menor idéia de como rodar estas coisas. Portanto, também não será capaz de rodar os vírus que contenham. Se no seu micro há um código viral em um documento do WordPerfect, você só poderá vê-lo quando abrir este documento com o WordPerfect.
Não há chance de achar um vírus em arquivos de dados a não ser que se utilize o antivírus para rastrear TODOS os arquivos ("all files"). Neste caso, um antivírus que rastreie "jumps" não pode dar um alarme falso porque arquivos de dados não possuem uma organização de "jumps". Entretanto, existem antivírus no mercado que agarram uma imensa fatia de um arquivo qualquer e, usando força bruta, procuram a existência de strings que sejam iguais às suas strings de referência. O resultado pode ser burro, constrangedor ou aterrorizante mas, na maioria das vezes, errado. Um produtor de antivírus da Califórnia perdeu uma fortuna num caso envolvendo um alarme falso desse tipo.
8.3 Seu confiável antivírus de última geração encontra apenas um "possível" vírus em apenas um arquivo.
Se o "super" antivírus de sua confiança não tem a capacidade de assegurar uma infecção e fica apenas "sugerindo" que achou um vírus, a chance maior é que não esteja acontecendo nada. Vendedores adoram ser responsáveis e nunca se pode afirmar com certeza se o céu vai desabar ou se vai abrir o maior sol. O que se deve ter em mente é que a chance de ser infectado é baixa; a chance de ser infectado por um vírus novo e raro, mais baixa ainda. Isto não quer dizer que você é imune. Significa apenas que seu primeiro vírus tem toda probabilidade de ser um dos favoritos, como o Stoned, Jerusalem, Monkey, etc e não um Die-Hard, Junkie, etc.
9.0 Em caso de dúvida
Se você leu as seções anteriores e ainda assim está entre uma infecção real e um alarme falso, leia as dicas abaixo:
9.1 Como agir em caso de suspeita de Vírus de Arquivo
Faça um boot limpo (reinicialize a máquina com um disquete descontaminado inserido no drive A
9.2 Rastreie o drive que gerou a suspeita por inteiro (todos os arquivos)
9.3 Conte o número de arquivos que supostamente estejam infectados.
9.4 Crie um diretório de teste e copie alguns arquivos não infectados, COM e EXE, para o novo diretório (por exemplo MEM e CHKDSK do DOS). Estes arquivos servirão como "oferendas".
9.5 Execute um dos programas dados como infectados e, logo em seguida, rode cada um dos programas-oferenda que foram copiados para o diretório de teste.
9.6 Faça outro boot limpo e rastreie com um anti-vírus não infectado.
10.0 Infecção confirmada
10.1Como agir
Se você recebeu um alarme de infecção e já conseguiu confirmar um alarme falso (certeza absoluta?), não há a necessidade de continuar essa leitura tão estafante
Se você tem a certeza de estar com a máquina infectada, existem algumas medidas que precisam ser tomadas. Mas, antes de qualquer coisa, leve em consideração os objetivos do seu plano de ação.
10.2 Objetivos
Diminuir a propagação do vírus com um mínimo de impacto sobre a produtividade dos usuários.
Identificar e remover todos os espécimes (cópias) do vírus sem danificar máquinas ou arquivos.
Arquivar um ou mais espécimes do vírus para estudos posteriores.
Identificar como o vírus burlou as barreiras de proteção
Revisar os procedimentos de proteção adotados, modificando-os se necessário.
10.3 Ações de Emergência
Se você trabalha numa empresa:
-Previna a propagação do vírus avisando todos os funcionários envolvidos. Cartazes do tipo "ALERTA DE VÍRUS: nenhum disquete pode ser removido desta área" parece exagero, mas não é. Devem ser afixados nas portas.
-Impeça o uso de terminais de rede infectados. Pendure um cartaz na máquina para avisar os usuários. Isto é particularmente importante caso haja a necessidade de eliminar (deletar) arquivos infectados pois, diminuindo o número de arquivos infectados, o trabalho posterior será reduzido.
Se você é um usuário solitário:
-Entre em contato com amigos ou pessoas que possam ajudá-lo.
-Não execute mais programa algum, para evitar novas cópias do vírus.
-Não envie arquivos para ninguém pois podem estar contaminados.
10.4 Antes de rastrear
-Determine se o vírus é do tipo oculto e/ou se requer um boot limpo para poder ser detectado.
-Determine se o vírus infecta ao abrir ou fechar. Se este for o caso, não rastreie antes de fazer um boot limpo.
-O vírus é polimórfico ou encriptado? Neste caso, um bloqueador de comportamento (behavior blocker) é mais indicado que um antivírus tradicional. A maioria dos antivírus não detecta todas as cópias da maioria dos polimórficos e, assim sendo, um rastreamento simples com grande probabilidade deixará um ou mais arquivos infectados na máquina e a infecção retornará em pouco tempo.
-----------------
Ufa, demoro mas valeu a pena, espero ajudar
Publicidade:
Jogue Tibia sem mensalidades!
Taleon Online - Otserv apoiado pelo TibiaBR.
https://taleon.online
Responder com Citação
Postado originalmente por Gold Dust Woman
pode cre
