Baixar este arquivo PDF

•.
"
•..•
---....... ..;,~
..•
VíR~S
..
."
SIS'TEMA
-----:..;-_._
-.;.":
~
~
PALA VRA-CHA VE:
vírus e outros bichos
d.MEMÓRIA
_-~
_
_--_._.-
o
.,;ruI
p.lNlro
.
INFECTAOO
.no
",'.ma delMmÕrlo
L--A·f.
I
I
DISQUETE
~
o ••.•• duplica...
o:.
~
. -,
.:
Sgt Márcio William da Rocha Pinto - Analista de Sistemas
PROGRAMAS
SISTEMA DE
ARMAZEHAMENTO
PROGRAMAS
•••
INFECTAOOS
Proc:•• ao eM Viro.
Este artigo, continuação do anterior com o mesmo título, publicado no 2.° número
da revista, defme as medidas preventivas anti-oirus e as formas de saná-los,
.
assim como faz uma análise sobre a segurança dos dados na memória do computador.
DEFESAS
Enquanto a etiqueta de proteção contra gravação
é recurso suficiente para proteger o disquete da contaminação, evitando transforrná-lo em um veto r de
"'disseminação, quando se trata de arquivos em disco
rígido, os atributos de "read only", escondido, etc., .
podem não ser suficientes para conter o vírus.
Como na medicina, temos medidas preventivas e
curativas. Umas simples e outras mais complexas, assim
como os produtos específicos anti-vírus podem ser
preventivos ou detectores, contribuindo para. evitar a
possibilidade de infecção.
Os produtos anti-vírus preventivos evitam que o
sistema seja contaminado. Estes programaspodem ser
residentes ou não. Como exemplos de anti-vírus residentes
temos o VSHIELD ou o IMUNE que ficam o tempo
todo na memória. Quando reconhecem algum tipo de
vírus, fornecem um aviso, pois não permitem mudanças
nos arquivos executáveis. Alguns não deixam qualquer
programa ficar residente sem a aprovação do usuário, e
outros não permitem que se execute um programa que
não esteja numa lista de aplicações previamente testadas
e aprovadas. Dessa forma, alertam o usuário sobre
ocorrências de operações e acessos "anormais".
Os produtos anti-vírus detectores alertam sobre a
contaminação, após a sua ocorrência, e vigiam os efeitos
destruidores. Eles testam os arquivos executáveis, o
22
R.vlsta da DlRENG
Novembro·
1992
setor de "boot", etc, não sendo, porém, totalmente
eficazes, pois inexistem "vacinas" genéricas. Há, atualmente, a preocupação com a utilização de gerenciadores
de disco rígidos, particularmente eficientes nesses tempos de desconfiança, pois, além de organizarem os
aplicativos do usuário, impõem restrições de acesso a
pessoas não autorizadas e muitos possuem também módulos de ação anti-vírus. Isto significa uma mudança
profunda na forma de uso dos microcomputadores, até
aqui caracterizada pela total liberdade na troca de usuários e programas, devido ao padrão amplamente dominado pelo PC. Mesmo com ou sem a utilização de sistemas de proteção, diversas medidas preventivas podem
e devem ser tomadas. A seguir, serão apresentadas algumas sugestões.
Medidas preventivas:
• fazer cópias de segurança;
• rninirnizar a troca de programas;
• manter sempre o lacre. de segurança nos disquetes,
exceto nos breves intervalos estritamente necessários;
• só usar programas oficiais, na embalagem original,
com o lacre intacto;
• desconfiar daqueles que exigem que o lacre seja retirado;
• não usar nem propagar programas piratas;
• não trazer joguinhos de casa, nem trabalho da faculdade. Jogos em computador: é a via real para a
.•.
infecção. Considera-se que cada jogo novo, sobretudo
aqueles de procedência duvidosa (de Fulano que copiou
de Beltrano que copiou de Sicrano que copiou de ... ),
é uma nova forma de roleta russa;
• observar de muito perto o trabalho da manutenção;
Manutenção: pedir ao técnico para DESLIGAR o disco
rígido antes de qualquer outra mexida com a máquina.
No fim da manutenção, desligar. / esperar 10 segundos /
religar a energia e dar a partida com um disco SEU. Os
técnicos têm a maior boa vontade, sabem dos perigos,
mas apesar disso podem espalhar a infecção sem querer;
• se a empresa tiver porte suficiente, fazer a sua própria
manutenção;
• fazer cópias de segurança ("back-up") freqüentes. Um
conjunto de cópias não é suficiente. Utilize vários conjuntos em rodízio, talvez um para cada dia da semana
ou um por semana. O estabelecimento de um sistema de
"back-up" regular o ajudará a recuperar dados danificados por quebra de disco rígido, formatação acidental
ou programas nocivos. É muito mais provável acontecer
uma quebra de disco rígido do que um ataque de vírus.
. De qualquer forma, os "back-up" ajudarão a protegê10 desses problemas;
• utilizar sempre a etiqueta de proteção contra gravação
nos disquetes que não necessitem ser gravados, principalmente nos originais de programas. Os eventuais arquivos de configuração podem ser guardados no disco
rígido ou em algum disquete de trabalho sem arquivos
executáveis;
• utilizar, distintamente, disquetes e/ou diretórios para
arquivos de dados e para arquivos executáveis;
• se o equipamento tem disco rígido, fazer sempre o
"boot" a partir deste. Nunca inicializar o sistema com
disquetes;
• em um sistema que apenas possua acionadores de
discos flexíveis (disquetes), utilizar sempre um único
disquete para o "boot" . Colocar a etiqueta de proteção
e nunca utilizar outro;
• quando for utilizar um microcomputador de uso geral, desligue-o antes. Ele pode estar com a memória
infectada;
• não deixar ninguém utilizar seu sistema. Se isto não
for possível, impedir que outros usuários tragam programas próprios;
• uso compartilhado: o nome "PC" vem de Personal
Computer. Reparar a palavra PERSONAL. Se mesmo
assim, por motivos econômicos, for imposto um compartilhamento do uso, é fundamental que os interessados
formem um grupo coeso;
• não emprestar disquetes com programas, ao recebê-lo
de volta, pode estar infectado. Se tiver que fazê-lo,
emprestar uma cópia e reformatá-lo com um sistema
operacional sadio quando retornar;
• quando for utilizar ou testar um novo programa do
qual não se· tem certeza de não estar contaminado,
utilize-o em um equipamento mantido em quarentena;
• mudar a localização do arquivo COMMAND.COM do
diretório raiz para outro diretório, dificultando a ação
do vírus. Para isto, você deve fazer o seguinte:
s/ inclua no arquivo config.sys, o seguinte comando: SHELL = C: 10UTRODIR I COMMAND.COM /P
v inclua no arquivo autoexec.BAT, o seguinte
comando: SET COMSPEC = C: 10UTRODIR I COMMAND.COM
v copie o arquivo COMMAND.COM para o diretório OUTRO DIR e apague-o do diretório raiz.
• proteger todos os arquivos com extensão .COM e
.EXE, com o atributo "READ ONL Y" (ler somente).
Para isto, em cada diretório deve ser executado o comando: ATTRIB +R *.COM; ATTRIB +R *.EXE.
• programas de fora: todo disquete externo ao micro
deve ser considerado suspeito, mesmo se ele vem da
sessão vizinha, e deve passar pelo crivo de programas
detectores de vírus antes de ser usado,· sobretudo se se
trata apenas de uma demonstração. Se alguma coisa
mudou: ALERTA!
• uso em rede pública: emitir e receber correspondência,
normalmente, não traz perigo se forem feitos por programas conhecidos, de procedência certa. Agora, usar um
destes programas que aparecem por aí no circuito informal é querer apanhar. Quanto a receber programas,
é fundamental se preocupar com o fornecedor. Cuidado
com os BBS. No caso do STM-400, todos os fornecedores de programas são cadastrados separadamente para
permitir que se identifiquem responsabilidades;
• uso em rede local: devem ser usadas todas as ferramentas de segurança oferecidas (senhas, etc ... ) e chamar o
pessoal do sistema de grande porte para averiguar a
segurança, com a designação de um responsável pelo
assunto. Todos os usuários devem ser especialmente
educados, formar uma grande família com absoluta confiança mútua, ter um nível de preparação superior, etc;
• desconfiar dos programas que pedem para retirar o
selo;
• usar regularmente os programas de prevenção;
• colocação de Monitores de acesso (alteram o pré-boot).
Ex: SCUA, BESTLOCK, CURIO;
• em suma, Alertar os Inocentes e Desconfiar Sempre
(A.I.D.S.).
Medidas curativas:
• existem no mercado, assim como estão sendo desenvolvidas por diversas empresas, muitas ferramentas
anti-vírus que permitem não só detectar a presença de
determinados vírus, como também a sua eliminação.
Temos, como exemplo, o SCAN/CLEAN e o CENTRAL
POINT ANTI-VIRUS. O problema principal reside no
fato de que não existe possibilidade de ser desenvolvida
uma vacina genérica contra todos os tipos de vírus,
existentes ou que possam ser criados. Desta forma, para
Novembro· 1992
Revista da DlRENG
23
11 070: vingança de empregados insatisfeitos com o seu
trabalho.
solução: Backups
5 070: problemas de infra-estrutura (água, refrigeração).
solução: Visita técnica
3 070: vírus.
solução: Programas de defesa
Numa outra palestra recente, em Anaheim, uma
professora de Harvard levou todos 'os participantes a
concordarem com o fato de que realizar trabalho com
pessoas menos qualificadas tem, como resultado, uma
resposta sempre negativa: gastos significativos e a necessidade de se educar os usuários cada vez mais.
cada tipo ou vírus em particular, deve ser utilizada a
ferramenta anti-vírus correspondente;
• com o vírus disseminado pelo seu disco rígido, o
usuário terá de eliminar os arquivos contaminados, de
preferência zerar as áreas liberadas do disco com algum
utilitário tipo o WIPEFILE ou WIPEDISK (com a
opção /E) do Norton Utilities e, em seguida, reinstalar
cópias sadias dos programas;
• se são muitos os programas contaminados, aconselhase ao usuário salvar os arquivos de interesse não contaminados e reinicializar o disco rígido;
• além disso, todas as centenas de disquetes de programa e dados terão de ser verificados para evitar que o
vírus reinfecte o seu sistema. Uma boa organização do
disco rígido, estruturado adequadamente em diretórios
e subdiretórios, permitirá uma mais fácil identificação dos
disquetes relacionados com os diretórios onde foram
encontrados arquivos contaminados;
• manter à mão o telefone de um "caça-fantasmas" de
confiança, daqueles que não têm nenhum interesse na
propagação da doença;
• executar, regularmente, os programas de detecção.
Manter os empregados conscientes dos riscos e cientes das
medidas a tomar caso ocorram situações estranhas: não
mais tocar no micro até a chegada dos "bombeiros",
anotar os sintomas, estabelecer a quarentena.
A GRANDE SURPRESA
Apesar dos famigerados vírus serem acusados dos
problemas ocorridos no computador, na realidade, são
a menor das ameaças à saúde do seu PC. Em palestra
.no Rio, um especialista americano cotou os números
seguintes sobre as origens dos problemas com a segurança dos dados:
65 070: profissionais desqualificados.
solução: Formação, Educação
16 070: fraudes e sabotagens de funcionários desonestos.
solução: Criptografia, Backups
24
Revisto do DIRENG
Novernbro . 1992
Educação: o problema de sempre.
Sobre a educação não tenho contribuições originais: acho fundamental e no mínimo honesto, para não
dizer ético, que, quando alguém pede um esclarecimento, se deve tentar ir um pouco além da resposta crua, do
passe de mágica que resolve, e tentar explicar o PORQUÊ
da resposta. Se este alguém não quer ouvir, se mantendo
na posição de índio bruto frente ao Pagé, azar dele. Mas
se o terreno é fértil, nós que sabemos, temos o DEVER
de semear. O provérbio é antigo: "Não dá peixes, ensina a pescar".
Para alguns, a tentação é grande de sonegar informações para criar e manter uma aura de mistério em
torno de si: criar dificuldades para vender facilidades.
Acho um desrespeito com o seu próximo, um entrave ao
progresso, um pecado, e um péssimo cálculo: ganhar
alguns cobres hoje ao preço de alguns amigos amanhã.
Meu projeto de vida não é de reunir uma grande fortuna, mas de reunir muitos amigos no dia do meu enterro.
Os médicos, os advogados, os arquitetos têm seus
conselhos e suas normas de ética. Quem não as respeitam são afastados da profissão ou punidos ... pelo menos em tese. Que tal tentar civilizar esta situação?
PRIMEIROS
SOCORROS
Os computadores pessoais se tornaram uma ferramenta essencial na vida de muita gente, e, entretanto,
não são tratados com a devida importância. Periodicamente, um carro tem direito a revisões, a geladeira a
degelo, e o extrato bancário a exames. O computador exige mais cuidados que uma simples televisão: o fato da
recepção estar ruim é óbvio, o fato de seus arquivos
estarem sendo embaralhados não.
Antes de falar em vírus, é necessário verificar se
a saúde do seu PC está boa.
Dezoito Precauções Elementares
1) Segurança Física: o acesso ao micro deve ser restrito às
pessoas autorizadas; nada de deixar estranhos chegarem
perto, guardar os discos em lugar seguro e trancar bem
as portas antes de sair. Perceberam que o A T tem uma
chave? A entrada e saída de disquetes devem ser controladas, bem como o destino do lixo. O lugar deve ter
detecção de incêndios e estar a salvo de inundações.
A pergunta: "E se tudo aquilo queimar de repente ?"
deve ter respostas satisfatórias.
2) Alimentação elétrica: a tomada deve ser polarizada
e de três pinos. Olhando a tomada com os dois pinos
elétricos para cima e a conexão para a terra embaixo,
conclui-se que o contato direito deve ter a fase e o contato
esquerdo o neutro. É fundamental ter um aterramento,
por exemplo, ligado a uma canalização de água. Verificar
com o seu eletricista! Além da alimentação,
um bom
filtro de linha é altamente recomendado;
os usuários
prevenidos buscam uma alimentação estabilizada e os
ainda mais prevenidos já usam um "NO-BREAK".
3) Capas anti-poeira: deixar o micro ligado debaixo
delas é catastrófico; porém, seu uso é recomendado após
o dx.ligamento do micro para permitir um resfriamento
mais suave, evitando a condensação que traz a oxidação,
além da sua função principal de evitar o acúmulo de
poeira.
4) Ambiente: o sol nunca deve bater diretamente sobre
o equipamento e seus disquetes, a temperatura deve ser
amena (fresca ou ar-condicionado),
sem tapetes, cortinas
espessas e outras fontes de poeira. O ar deve fluir facilmente ao redor do equipamento. Nunca comer, beber ou
fumar perto do computador.
Um copo de refrigerante
espalha ao seu redor diminutas partículas de açúcar a
cada bolinha que subir: estas partículas adoram se grudar nos disquetes, e depois se depositar nos drives.
O fumo também.
5) Disquetes: existem diversas qualidades com diferentes
preços, porém a economia pura pode sair muito cara.
6) Selos de segurança: todos os discos originais devem
usar o selo de proteção, e serem guardados em lugar
seguro, longe do computador.
Todos os outros discos
devem dormir COM o selo. Este deve ser retirado apenas quando for necessário, e recolocado imediatamente
após.
7) Uso inteligente do sistema de arquivamento em árvore: na raiz deveriam ter apenas diretórios, e os arquivos
dos usuários deveriam estar agrupados em subdiretórios
com o nome do dono, do projeto ou da fase. Dois
deles deveriam ser padrão: IDOS para todos os módulos
do sistema (incluindo o COMMAND.COM),
e IUTIL
para os demais utilitários de uso geral, o mais importante sendo aquele que recolhe as cabeças do Winchester,
com o nome trocado para O nome padrão BYE.
8) Arquivo config.sys: um dimensionamento
generoso e
suficiente para os programa de base de dados (os mais
gulosos) é FILES = 30 e buffers = 20. Se precisar mais
ainda, é sinal que algum aplicativo foi pessimamente
concebido. É recomendado ter uma linha SHELL = C:
IDOS ICOMMAND.COM
IP/E:500, para poder usar
com COMMAND.COM
do diretório DOS e não ter o
COMMAND.COM
na raiz, ao alcance dos vírus, e ter
um "environment"
de pelo menos 500 bytes, para todas
as variáveis SET = ... que os aplicativos vão querer.
Costumo tornar este arquivo HIDDEN e READ-ONLY.
9) Arquivo autoexec.BAT,
deve conter:
- VERIFY ON para prevenir contra o decaimento
natural dos discos;
- PROMPT = $P$G para o PC mostrar onde está na
árvore de diretórios;
- PATH=C
IDOS;C IUTIL e outros caminhos de
uso neste micro;
- SET COMSPEC=C:
IDOS ICOMMAND.COM
para apontar o lugar do COMMAND.COM.
Costumo também tornar este arquivo HIDDEN e
READ-ONLY.
Pensar duas vezes antes de colocar qualquer outra
coisa residente: é realmente útil? tem espaço sobrando?
temos certeza que não contém alguma coisa nojenta? um
pouco mais de educação dos usuários não resolveria
o problema? é tão difícil "navegar"
na árvore de diretórios?
10) Cópias de segurança (BACKUP):
nenhum dado
novo deve passar a noite no disco rígido sem antes ter
sido copiado para disquetes. O disco rígido é área de
trabalho,
não de hospedagem:
SEU CONTEÚDO
PODE SUMIR A QUALQUER HORA, SEl\v'1 A VISO
PRÉVIO e TUDO que estiver dentro deve exisur em
algum disquete para se poder reconstruir o conteúdo do
disco quando o dia chegar. Este dia CERTAMENTE
chegará, e chegará na pior época possível. Até os disquetes de segurança deveriam ser copiados (DISKCOPY) a
cada seis meses para se prevenir de um decaimento do
magnetismo.
11) Reformatação
periódica: é bom reformatar o disco
rígido (formatação
física) a cada seis meses - ótima
oportunidade
para fazer backups - e usar um utilitário
de compressão e defragmentação
do disco freqüentemente. É uma operação demorada, mas fundamental
para poder recuperar os dados perdidos após um acidente.
Novembro·
1992
Revista do DIRENG
25
A esmagadora maioria dos problemas com os micros vem
dos itens acima, e não dos vírus.
.....
'~:
,.
O FUTURO
Espera-se a colaboração dos fabricantes para incluir, nos seus programas, rotinas de auto-detecção de
alterações, a fim de não se tornarem veículos inocentes
da contaminação.
No futuro, aparecerão, com certeza, empresas
especializadas em restituir a confiança que a era da microinformática nos deu e que a era do vírus nos retirou.
-,
CONCLUSÃO
12) CHKDSK: o sistema operacional vem com este utilitário, que deveria ser rodado todo dia em cada discão e
disquete utilizado para detectar problemas com o sistema
de arquivos. Toda vez que ele descobrir alguma corrente
("Chain") perdida, o assunto deveria ser investigado e o
problema localizado: uso indevido do botão RESET, etc.
O sistema contém um outro utilitário, COMP, a usar
quando desconfiar que um vírus se instalou num programa: ele permite comparar a cópia de um programa com
seu original num disquete.
13) FORMAT: mudar o nome deste programa ou pelo
menos disfarçar/controlar o seu uso para impedir uma
formatação acidental do drive C:.
14) DEL e REN: educar os usuários para não usar os
comandos DEL *.* ou REN *.* que são os PRINCIPAIS
erros de operação.
15) ATTRIB: usar, em todos os subdiretórios, o comando ATTRIB +R *.COM e o comando ATTRIB +R
*.EXE (e por que não A TTRIB + R *.*?) para impedir
uma remoção involuntária de programas. Não é nenhuma defesa contra vírus, mas contra o uso descuidado do
micro. Quando for necessário mudar ou apagar um arquivo, basta ATTRIB -R arquivo.ext, fazer a operação
e, bem depressa, recolocar a proteção.
16) Em caso de "incêndio": educar os usuários para não
tocarem mais na máquina, se, porventura, um comando
desastroso for dado ou um comportamento estranho observado, até a visita de um técnico responsável. Não é
como um incêndio de verdade: é melhor deixar como está e esperar, do que tentar mexer e piorar as coisas.
17) Uso por leigos de programas de cirurgia: eu sei que
NU e PCTOOLS são os programas mais divulgados (após o
COPYIIPC, claro). Você se acha capacitado para operar o
apêndice do seu filho? Não? Então deixe o uso desses
CTIs informáticos para os especialistas. Se algo sai mais
errado ainda, você terá pelo menos um culpado a mão ...
18) E, para terminar, o conselho mais importante: aprender a ler os manuais. Muita gente só vai ler o manual
quando é tarde demais, ou quando todo o resto falha.
Só, então, vem a preocupação com os vírus.
26
Revisto
do DIR.EHG
Novembro
- 1992
Normas de comportamento e programas de COllScientização dos usuários, quanto aos perigos dos vírus,
podem ajudar a minimizar a possibilidade de contágio,
porém um único joguinho na hora do almoço ou uma
rápida verificação em um disquete para' 'ver o que possui" podem tornar todas as medidas inócuas.
O grande desafio é evitar que microcomputadores sejam infectados, pois, por enquanto, é impossível
eliminar totalmente a possibilidade de infecção por vírus, mesmo com o uso de sistemas de proteção.
A preocupação principal reside, então, em não
permitir que vetores de contaminação cheguem até aos
sistemas, seja por disquetes de amigos ou de mantenedores ou através da disseminação em redes de comunicação de dados, apesar de sempre estarmos cientes de que
a maioria dos problemas ocorridos nos microcomputadores é decorrente de falhas humanas.
É importante, entretanto, não transformar o problema em neurose, procurando ou achando vírus onde
eles não existem. Os defeitos em equipamentos ocorrem
e, nem sempre, como foi visto, as perdas de dados são
um sintoma direto da existência de vírus.
Na realidade, o aparecimento dos vírus acabou
com uma época de utilização livre dos microcomputadores e obrigou o início de uma fase mais controlada, profissional e amadurecida. A questão imediata são os vírus,
mas, a médio e longo prazos, estes tenderão a desaparecer se houver uma real preocupação com a Segurança de
Dados.
Tal como a violência e a AIDS, o problema do
vírus em computador chegou e não sumirá tão cedo.
Teremos de conviver com ele muito tempo, pelo menos
enquanto um único técnico tiver a infeliz idéia de tentar
demonstrar seu virtuosismo. Teve pelo menos um aspecto positivo: motivar mais ainda os usuários a fazer
cópias de segurança!
Um pedido a todos que me "ouvem": se você sente vontade de demonstrar a sua técnica, faz uma melhor
folha de pagamento, um melhor controle de estoque, um
melhor editor, uma melhor planilha, um melhor compilador, um melhor jogo, mas, por favor, não tente fazer
um melhor vírus! O