ATUAÇÃO DOS VIRÚS

[Anonymous]

Na tentativa de alcançar seu objetivo, um vírus pode lançar mão de uma série de atitudes. Para entender melhor como os vírus agem, se faz Necessário esclarecer melhor onde eles podem se alojar.

Um vírus tem de ficar em regiões que possam ser facilmente acessadas pelo sistema operacional, mas sem despertar a atenção do usuário. Outro ponto importante é que, assumindo que um vírus deseje contaminar o maior número de equipamentos, ele necessita se alojar em lugares encontrados em todos os sistemas.



Todos os computadores que trabalham com o sistema operacional MS-DOS, apresentam os seguintes arquivos para inicialização do sistema:



IBMBIO.COM; IBMDOS.COM; COMMAND.COM

OU

IO.SYS; MSDOS.SYS; COMMAND.COM

Além disso, disquetes e discos rígidos apresentam uma área (reservada) denominada área de boot.



Baseados nisso, alguns vírus foram projetados para contaminar esses arquivos ou setores. por exemplo:

  AIRCOP- Infecta setor de boot de discos rígidos e disquetes.

BRAIN- Infecta setor de boot de disquetes.

CHAOS- Infecta setor de boot de discos rígidos e disquetes.

LEHIGH- Contaminam apenas o COMMAND.COM.

PING-PONG- Infecta setor de boot de discos rígidos e disquetes.

STONED- Ataca o master boot de discos rígidos.

TRACKSWAP-Infecta setor de boot de discos rígidos 


VÍRUS QUE SE ALOJA NA PARTIÇÃO

Outros vírus preferem se esconder na tabela de partição de discos rígidos, sendo muito comum vírus que atuem em áreas diferenciadas quando se trata de disquetes ou discos rígidos. Por exemplo, os vírus abaixo citados contaminam a tabela de discos rígidos e o setor de boot em disquetes: AZUZA, BEIJING, BLOODY, BOOTV-1, EVIL EMPIRE, FLIP, JOSHI, TEQUILA.



Ou seja, durante o processo de "transporte"em disquetes, eles se laojam no setor de boot, mas ao encontrar um disco rígido eles passam a contaminar a tabela de partição. Obviamente, tanto em diaquetes quanto em discos rígidos esses vírus são perigosos. o fato de contaminarem a tabela de partição. Obviamente, tanto em disquetes quanto em disco rígidos esses vírus são perigosos. O fato de contaminarem a tabela de partição, provavelmente se deve a uma tentativa de passarem despercebidos por mais tempo, além de provacarem danos.



Outros tipos de vírus preferem se concentrar em programas. Dessa forma alguns vírus preferem atacar programas com terminação *.COM, enquanto outros atacam programas com terminação *.EXE. Um terceiro grupo atacam programas *.COM quanto *.EXE . Essas diferenças se devem ao fato de, estruturalmente ao nível lógico, os programas *.COM serem mais simples. Eles são programas pequenos, por imposição do MS-DOS, não podem superar os 64Kbytes de tamanho. Programas *.EXE podem ter qualquer tamanho. Programas *.EXE podem ter qualquer tamanho, sendo que estes possuem uma estrutura mais complexa, pois necessitam informar ao MS-DOS quanntos blocos de 64 Kbytes eles irão ocupar durante seu carregamento na memória. Portanto a diferença não é apenas de nome, mas da estrutura do próprio executável.



Conseqüentemente, programas *.COM são mais facilmente contamináveis do que *.EXE. Um outro grupo de vírus atacam arquivos de overlay ( segmentar o programa em vários em vários arquivos, sendo que um "gerenciador" fica permanentemente carregado na memória, enquanto o programa estiver carregado na memória). Exemplos



ATACAM PROGRAMAS TIPO *.COM


 

512

ARAB

ARGENTINA

BIG JOKE

CARIOCA

CASCADE

JUSTICE

HITCHOCK

 

ATACAM PROGRAMAS DO TIPO *.EXE

 

HERO

KAMIKAZE

MOSQUITO

NV71

STARDOT

TOKYO

WITCODE



ATACAM PROGRAMAS TIPO *.COM e *.EXE



VIRBAS

V2100

JERUSALÉM

FLIP2

928

1193



ATACAM ARQUIVOS DE OVERLAY

 

 

SQUAWK

SPYER

SIS

RNA

PAYDAY

PATIENTE

PARIS

 

VÍRUS RESIDENTES NA MÉMORIA

Alguns vírus, também ficam residentes na memória. Dessa forma, quando um programa contaminado é carregado na memória ele leva o vírus com ele. Quando de término da execuçãodo programa, ao invés de toda a memória ocupada ser liberada, resta uma pequena (por vez minúscula) porção ainda ocupada. Essa pequena porção de memória ocupada permace até que o computador seja reiniciado. Na verdade essa ocupação se da por um vírus, que passa a monitorar acessos a discos e outros programas, procuarando contaminá-los. Por vez esses acessos quem faz é o próprio vírus.



E os vírus que não ficam residentes na memória, espera que o usuario faça o acesso ao disco rígido para contaminar vários arquivos. Isso também pode ser feito pelo vírus residente, mas o grande perigo é que, após se instalar na nmemória, ele assme o controle a situação. vejam alguns exemplos:



ANTHRAX  MICHAELANGELO

MURPHY PING-PONG

JERUSALÉM TAIWAN

VACINA USSR

HAIFA VICTOR

ETC STONE



VÍRUS QUE ALTERAM SEU CÓDIGO

 

Outros vírus mais sofisticados, alteram seu código ao realizarem novas contaminações. Isso pode dificultar bastante a ação de alguns softwares antivírus. A maioria dos antivírus procuram caractéristicas de cada vírus, constituindo-se na maioria num grande grupo de caracteres em base hexadecimal, sendo utilizado pelos caçadores de vírus (antivírus). Com a alteração desta assinatura (código), o trabalho fica muito maias dificultado. São chamados vírus multantes.



Para melhor entender esse problema, vamos analizar um dos mais conhecidos vírus mutantes, a AMEBA MALTESA (Apesar de amebas serem biologicamente, protozoários, em termos computacionais a AMEBA MALTESA é considera um vírus mutante) A AMEBA MALTESA surgiu pela primeira vez em I de novembro de 1991. Análises efetuadas verificaram que diversas contaminações a assinatura do vírus era diferente. Verificou-se também que a AMEBA MALTESA apresentava um total de 65.536 possibilidades de mutação! EXEMPLOS:



 



JULY 13TH ENIGMA

1008 FEAR

1260 FISH

1280 FLIP

1559 HAIFA

3445 INVADER

AMEBA MALTESA KLAREAN

ANTI-TEL LEECH

BLOODY POQUE

CAZ SLOW



VÍRUS DE STEALTH

 

Finalmente , outros vírus utilizam técnicas denominadas STEALTH (vírus furtivos). Esse nome vem do avião americano STEALTH. Imune aos radares, e utilizado na guerra do Golfo. O vírus furtivos utilizam algumas técnicas de dissimulação na tentativa de passarem desapercebidos pelo o usuário e por sistemas dectores (antivírus). Por exemplo: ao entrar na memória, um vírus furtivo lança uma armadilha, para verificar a exitência de alguns antivírus na memória na memória. Caso ele suspeite da presença de algum sistema de prevenção, ele não fica ativo (fica suspenso). Outra técnica de dissimulação é a seguinte: ao contaminar um programa,um vírus usualmente amplia o tamanho em bytes do mesmo. Porém os vírus furtivos, quando na memória notarem que um comando tipo DIR (mostra os arquivos presentes em um diretório, no MS-DOS ) está sendo processado, faz com que o programa contaminado mostreseu tamnho original, o mesmo aconntecendo com o espaço disponível. na verdade o disco está com menos espaço do que o indicado, porém tudo trancorre normalmente! veja algums exeplos de vírus furtivos abaixo:



 



1913

3445

4096

512

ALF

ANTI-TEL

BROTHERS

DEDICATED

DIR (ALGUMAS VERSÕES)

EVD

FILLER

FISH

GREEMLIN

HAIFA

HOLOCAUST

JOSHI

LEECH

LUCIFER

MUTATION ENGINE

TWIN

ZERO HUNT

[Anonymous]

Bom Como meu assunto favorito é Virus Vou Completar seu Texto com minha Experiencia:

Faltou Diversos Virus Atuais ai como

Polimorfismo encriptado XOR - Seria como se a Instrução XOR ( Or Exclusivo de Bit a Bit ) Encriptase cada parte constante do viril assim o mesmo poderia infectar um diretorio sem a intrusao das api de TOKEN que barra seu progresso

Polimorfismo Reverso           - Seria como se o Polimorfismo Viral ou seja ( Trocar o Codigo ou Inserir comentarios aleatorios para dificultar o codigo seja reversa ou seja os codigos ficam de tras pra frente e o codigo RUNTIME ( Execução ) Fica Dificultado a Remoção por parte das Bestas Anti - Virus

RootKit ( Geração 1 ) - RootKit seria algo como um Espião que barra a API ( Interface de Programação ) de Ser utilizada com a MSG de Sistema do Modulo Viral SIM ROOT KITS São feitos com DLL então fica ai a Possivel Indetecção

RootKit ( Geração 2 ) - Rootkit igualmente o acima mais com a peculiaridade de ser Executavel

RootKit ( Geraçã  3 ) - Este é o Tipo Atual ; Ele é Impossivel de Ser Retirado pois ele ao carregar Funde uma DLL as api do sistema trocando as do sistema pela dele so q a dele espiona msgs Eventos Chamadas etc Bom há mais o que falar sobre RKit mais acho q ja complementei bastande


PS: Texto desenvolvido By Ricardo Silva .

[Anonymous]

r1c4rdo1988




Este POLIFORMISMO eu não conheci. dahoraa XD


--
O Topico ta bem intereçantem