A Evolução dos Vírus de Computador

Parte 1.

Como qualquer outra área da ciência da computação, os vírus têm apresentado uma grande evolução nos últimos anos. Nesta série de três artigos produzidos pelos especialistas da Panda Software, e que a equipe editorial da Módulo Security Magazine traduz de forma exclusiva para seus leitores, serão demonstradas a origem e a evolução ocorridas desde o aparecimento do primeiro código malicioso.

Retornando a origem dos vírus, foi em 1949 que o matemático John Von Neumann descreveu o primeiro programa de auto-replicação que se assemelha aos vírus de computador conhecidos atualmente.

Porém, somente na década de 60 que surgiriam os primeiros antecessores dos vírus atuais. Nesta década, um grupo de programadores desenvolveu um jogo chamado "Core Wars", que era capaz de se reproduzir toda vez que era executado, sobrecarregando assim a memória do equipamento de outro jogador. Nessa mesma época, os criadores deste peculiar jogo também foram responsáveis pela criação do primeiro antivírus, um aplicativo chamado "Reeper", que era capaz de destruir cópias criadas pelo "Core Wars".

No entanto, só em 1983 que um dos programadores responsáveis pela criação do "Core Wars" anuncia sua existência: ele foi descrito em detalhes em um artigo publicado no ano seguinte em uma prestigiada revista científica. Assim, este pode ser considerado o ponto onde passamos a conhecer o que chamamos hoje de vírus de computador.

Nesta época, um "jovem" MS-DOS começava a se tornar um ilustre sistema operacional utilizado em diversas partes do mundo. Este era um sistema com grandes perspectivas, mas com muitas deficiências também, que foram levantadas nos desenvolvimentos de software e na falta de muitos elementos de hardware conhecidos hoje.

Assim, este novo sistema operacional transformou-se em alvo de um vírus em 1966: "Brain", um código malicioso criado no Paquistão que infectava setores de boot de discos de modo que estes não pudessem ser acessados. Nesse mesmo ano, surge também o primeiro trojan: uma aplicação chamada "PC-Write".

Logo após, os programadores de vírus descobririam que infectando arquivos poderiam causar muito mais danos aos sistemas. Em 1987, surge então o vírus "Suriv-02", que infectava arquivos .COM e abriria a porta para ação do vírus "Jerusalem" ou "Friday 13th". Entretanto, o pior ainda estava por vir: o ano de 1988 marca a data do aparecimento e ação do "Morris worm", que afetaria seis mil computadores.

De 1988 até 1995, os tipos de códigos maliciosos que são conhecidos atualmente começam a ser desenvolvidos: surgem os primeiros vírus de macro, vírus polimórficos... Algumas destas pragas acabariam provocando epidemias, tais como o "MichaelAngelo".

No entanto, houve um evento que mudaria o cenário mundial da ação dos vírus: o uso maciço de internet e e-mail. Pouco a pouco, os vírus começariam a adaptar-se a esta nova situação até o surgimento, em 1999, do "Melissa", o primeiro código malicioso a causar uma epidemia mundial, abrindo uma nova era para os vírus de computador.

Parte 2

Na segunda parte da série "A evolução dos vírus de computador", abordaremos quais meios eram utilizados pelos códigos maliciosos para se disseminarem antes do uso da internet e correio eletrônico se tornarem tão comuns como nos dias atuais, além dos objetivos principais dos programadores de vírus.

Antes da internet e o e-mail serem adotados como o principal padrão de comunicação pelo mundo, os vírus eram espalhados, principalmente, através de discos removíveis, disquetes, CDs etc, que continham arquivos já infectados ou um executável do código do vírus em um setor de boot.

Quando um vírus entrava em um sistema, ele poderia ficar residente na memória, infectar outros arquivos quando eles fossem abertos ou começar a se reproduzir de forma imediata, atingindo assim outros arquivos do sistema.

O código de um vírus poderia também ser ativado através de um determinado evento. Por exemplo, quando o relógio do sistema alcançasse alguma data ou hora específica. Neste caso, o autor calcularia o tempo necessário para o vírus se espalhar e daí ajustar uma data - com algum significado particular - para que ele fosse ativado.

Desta maneira, o vírus teria um período de incubação que não afetaria visivelmente os computadores, mas se espalharia apenas de um sistema para o outro, esperando o "dia D" para ativar sua carga maliciosa. Este "período de incubação" seria vital para o sucesso do ataque do vírus, que infectaria tantos computadores quanto possíveis.

Um exemplo clássico deste tipo de código malicioso destrutivo com período de incubação foi o "CIH", também conhecido como "Chernobyl". A pior versão deste código é sempre ativada no dia 26 de abril, quando tenta sobrescrever o flash-BIOS, memória no qual são armazenados os códigos básicos para gestão dos dispositivos de um PC. O Chernobyl, detectado pela primeira vez em junho de 1998, causou sérios danos durante dois anos e até hoje continua infectando computadores pelo mundo.

No entanto, a propagação desses vírus era muito lenta, se compararmos com a velocidade alcançada pelos atuais códigos maliciosos. Assim, por exemplo, no final dos anos 80, o "Friday 13th" ou "Jerusalem" necessitou de um longo período de tempo para se disseminar e continuar infectando computadores durante alguns anos.

Para se ter uma idéia da evolução da programação nessa área, em janeiro de 2003, segundo especialistas em segurança, o SQL Slammer precisou de apenas dez minutos para causar sérios problemas mundiais pela internet.

Notoriedade versus invisibilidade

Parte 3

A internet e o e-mail revolucionaram as comunicações. No entanto, como era de se esperar, os programadores de vírus não demoraram a perceber que estas novas maneiras de comunicação também se tornariam excelentes meios para disseminação de seus códigos maliciosos e conseqüentes prejuízos.

Assim, rapidamente modificaram seus objetivos, que passou da infecção de poucos computadores para atrair a atenção sobre suas criações, para atingir o máximo de computadores possíveis, no menor tempo possível. Essa mudança de estratégia resultou na primeira epidemia global de vírus, protagonizada pelo worm Melissa em 1999.

Com o surgimento do Melissa, o impacto econômico dos vírus se tornou uma grande preocupação. Como resultado, usuários - e todas as empresas - começaram a se preocupar seriamente com as conseqüências que um ataque de vírus poderia ocasionar para segurança de seus sistemas e computadores. Essa foi a forma como os usuários descobriram os programas de antivírus, que começaram a ser instalados de forma massiva. Por outro lado, esse novo cenário trouxe um novo desafio para os programadores de vírus: como ultrapassar essa nova proteção e como persuadir os usuários a executarem seus códigos maliciosos.

A resposta para esse novo desafio surgiu no aparecimento de um novo worm: Love Letter, que utilizava uma simples, mas efetiva artimanha, que seria considerada como um novo tipo de engenharia social. Essa estratégia envolvia a inserção de falsas mensagens que leva o usuário a pensar que tal e-mail possui qualquer coisa, menos um vírus. A isca do worm era simples: ela induzia o usuário a pensar que recebeu uma carta de amor.

Esta técnica continua sendo muito utilizada nos dias atuais. Porém, ela é seguida de perto por outra tática que se tornou o centro das atenções ultimamente: a exploração de vulnerabilidades em software largamente utilizados no mercado. Tal estratégia oferece uma série de possibilidades para o invasor, dependendo da falha de segurança a ser explorada.

Os primeiros códigos maliciosos a utilizarem tal método - com rápido sucesso - foram os worms BubbleBoy e Kakworm. Essas pragas exploravam uma vulnerabilidade no Internet Explorer, através da inclusão de determinados códigos em HTML no corpo de uma mensagem, permitindo a execução automática da praga, sem a necessidade de o usuário fazer qualquer procedimento.

E as vulnerabilidades permitem que diversos tipos de ações maliciosas sejam realizadas. Por exemplo, elas permitem que um vírus seja baixado para um computador diretamente da internet - como o worm Blaster. De fato, os efeitos dos vírus dependem da vulnerabilidade que o autor do código malicioso deseja explorar.

Parte 4

Como qualquer outra área da ciência da computação, os vírus têm apresentado uma grande evolução nos últimos anos. Na segunda parte da série de artigos "A evolução dos vírus", produzidos pelos especialistas da Panda Software, e que a equipe editorial da Módulo Security Magazine traduz de forma exclusiva para seus leitores, serão demonstradas a evolução das técnicas de desenvolvimento de códigos maliciosos.

No início, poucos eram os PCs que continham informações sensíveis, como números de cartão do crédito ou outros dados financeiros. Além disso, esse tipo de cenário estava limitado geralmente as grandes organizações que já tinham incorporado os computadores em suas rotinas de trabalho.

Nessa época, a informação armazenada nos computadores não corria grande risco de ser comprometida, a não ser que o computador estivesse conectado a uma rede, onde tais informações poderiam ser transmitidas. Naturalmente, havia algumas exceções, como os casos em que crackers conseguiam efetuar fraudes usando dados armazenados em sistemas eletrônicos. Entretanto, é importante ressaltar que esse tipo de ação só foi possível através do uso de atividades hacking, sem nenhum tipo de ação envolvendo os vírus.

Porém, o advento da internet causou uma mudança nos objetivos dos programadores de vírus. A partir deste momento, eles passaram a alvejar a infecção do maior número de computadores no menor tempo possível. Além disso, a disponibilização de serviços de internet - como o internet banking e o comércio eletrônico - trouxe outra profunda mudança conceitual. Alguns programadores de vírus começaram a desenvolver códigos maliciosos não para infectar computadores, mas para roubar informações confidenciais relacionadas a esses serviços. Evidentemente que para conseguir alcançar esse objetivo, eles precisavam que suas pragas infectassem muitos computadores de forma "silenciosa".

Esse trabalho foi finalmente "recompensado" com o surgimento, em 1986, de uma nova família de código malicioso denominada "Trojan Horse", ou simplesmente "Trojan". O primeiro trojan detectado foi o PC-Write, que tentava se passar como uma versão shareware de um programa de processador de textos. Quando executado, a praga disponibilizava um processador de texto funcional na tela do computador da vítima. O problema era que, quando o usuário começava a digitação no "programa", o PC-Write apagava e corrompia arquivos do disco rígido do computador da vítima.

Depois do PC-Write, este tipo de código malicioso evoluiu muito rapidamente para alcançar o estágio dos Trojans atuais. Hoje, muitas pessoas que desenvolvem Trojans para roubar informações confidenciais não podem ser chamadas de programadores de vírus, mas simplesmente de criminosos que, em vez de usar maçaricos ou dinamites, utilizam os vírus como armas para cometerem seus crimes. O "Ldpinch.W" e as famílias de Trojans "Bancos" e "Tolger" são alguns destes exemplos.

Parte 5

É certo que nenhum fato possa ser deixado de lado, mas alguns campos particulares da ciência da computação têm sido mais determinantes do que outros quando analisamos a evolução dos vírus de computador. E uma das maiores influências nessa área refere-se ao desenvolvimento das linguagens de programação.

Essas linguagens são os meios de comunicação com os computadores para ordená-los sobre o que eles devem fazer. Cada um deles pode ter um desenvolvimento específico e regras formuladas, mas na realidade computadores entendem uma só linguagem, chamada de "código de máquina".

Assim, as linguagens de programação são ações de interpretação entre o programador e o computador. Evidentemente, quanto mais direta for a comunicação com o computador, melhor ele entenderá o usuário, e ações mais complexas poderão ser realizadas nele.

Diante disso, as linguagens de programação podem ser divididas em linguagens de "baixo e alto nível", dependendo do nível de sintaxe compreendido pelo programador ou pelo computador. Uma linguagem de "alto nível" utiliza expressões que podem ser facilmente compreendidas pelos programadores, mas não por muitos computadores. Visual Basic e C são alguns bons exemplos nessa área.

Da mesma forma, expressões utilizadas por linguagens de "baixo nível" são facilmente manipuladas pelos computadores, mas são muito difíceis de ser compreendidas por alguém que não está envolvido com o processo de programação. Uma das mais poderosas, sempre utilizada como um bom exemplo nessa área é o "assembler".

Mas antes de continuarmos a explicação sobre a história das linguagens de programação na evolução dos vírus, é preciso compreender também a evolução do campo de hardware. Não é difícil de se entender o porquê de os velhos processadores 8-bit não terem o mesmo poder dos modernos processadores 64-bit, que afeta diretamente o impacto da linguagem de programação utilizada nos códigos maliciosos.

A seguir, começaremos a analisar as diferentes linguagens de programação utilizadas pelos programadores de vírus na história da computação.

O antecessor dos vírus: Core Wars

Como explicado no primeiro artigo desta série, um programa conhecido como Core Wars, desenvolvido por engenheiros de uma importante empresa de telecomunicações, é considerado o antecessor dos vírus conhecidos atualmente.

A ciência da computação estava em seu estágio inicial e as linguagens de programação quase não existiam. Por esta razão, os autores dos primeiros vírus utilizavam linguagens semelhantes da programação dos computadores.

Curiosamente, parece que o programa do Core Wars serviu de inspiração, anos mais tarde, para Robert Thomas Morris, autor do "Morris worm". Para quem não sabe, este código malicioso se tornou extremamente famoso por ter infectado mais de seis mil computadores em 1998.

Os novos gurus do 8-bits e a linguagem assembler

Os nomes Altair, IMSAI e Apple, nos EUA, e Sinclair, Atari e Commodore, na Europa, trazem recordações de um tempo passado, quando a nova geração de entusiastas por computação lutava para se estabelecer no mundo da programação.

Para se tornarem os melhores, esses programadores precisavam ter profundo conhecimento no código de máquina e em assembler, já que a interpretação de linguagens de alto nível consumia demasiado tempo de execução. BASIC, por exemplo, era relativamente fácil e permitia que os programadores desenvolvessem programas simples e rapidamente. Porém, apresentava muitas limitações.

Nesse cenário, os programadores acabariam se dividindo em dois grupos: o primeiro gostava de utilizar a linguagem assembler; já o segundo se especializou em linguagem de alto nível (BASIC e PASCAL, principalmente).

Certamente, os aficionados por informática dessa época gostavam mais de desenvolver software do que malware. No entanto, o ano de 1981 é marcado pelo nascimento do que podemos considerar o primeiro vírus 8-bit. Classificado como "Elk Cloner", a praga foi desenvolvida em código de máquina. Este vírus infectava sistemas Apple II e disparava uma mensagem no momento em que o computador era infectado.

Parte 6

A evolução dos vírus de computador segue de forma paralela ao desenvolvimento de outras áreas da Tecnologia da Informação (TI). Dois importantes fatores estão intimamente ligados com este processo evolutivo: o desenvolvimento das linguagens de programação e o aparecimento de elementos de hardware cada vez mais potentes.

Em 1981, quase ao mesmo tempo em que o Elk Kloner (primeiro vírus para processadores 8-bit) surgia, um novo sistema operacional aumentava sua popularidade. Seu nome completo era Microsoft Disk Operation System, porém ficou logo conhecido no mundo da informática como DOS.

Vírus de DOS

O desenvolvimento de sistemas MS-DOS aconteceu em paralelo com o surgimento de novos e mais potentes hardware. Os computadores domésticos se tornaram gradualmente ferramentas de uso cotidiano, permitindo assim que um número maior de pessoas passasse a ter acesso a este tipo de tecnologia.

Porém, de forma inevitável, esse cenário permitiu também que mais usuários começassem a criar vírus. Assim, pouco a pouco, surgiram os primeiros vírus e trojans para sistemas DOS, escritos em linguagem assembler e demonstrando um certo grau de "habilidade" por parte de seus autores.

Poucos programadores dominavam linguagem assembler em comparação com àqueles que conheciam as linguagens de alto nível, consideradas pelos especialistas como "mais fáceis de se aprender".

Dessa forma, começam a surgir códigos maliciosos desenvolvidos em Fortran, Basic, Cobol, C ou Pascal. Essas últimas duas linguagens, por sua ampla difusão e potência, seriam as mais utilizadas, principalmente as versões TurboC e Turbo Pascal. Esse novo cenário acabou contribuindo para o aparecimento das "famílias de vírus": isto é, vírus que são seguidos por um vasto número de vírus relacionados que apresentam ligeira modificação no código original.

Outros usuários, com um "espírito muito menos artístico", decidem criar vírus destrutivos que não exigem grande conhecimento em linguagem de programação. Como resultado, surgem os vírus de arquivo de processamento em lote ou vírus BAT.

Vírus de Win16

O desenvolvimento de processadores 16-bit trouxe uma nova era para informática. A primeira conseqüência foi o nascimento do Windows, que, até aquele momento, era apenas um aplicativo para facilitar o manuseio do DOS através de uma interface gráfica.

A estrutura de arquivos no Windows 3.xx era difícil de se entender e o código da linguagem assembler utilizado também muito complicado. Assim, poucos programadores estavam aptos a criarem códigos maliciosos para esta nova plataforma. Porém, este problema seria resolvido pouco tempo depois, com o desenvolvimento de ferramentas de programação para linguagens de alto nível, na maior parte para Visual Basic. Tal é a efetividade deste aplicativo, que muitos programadores de vírus passaram a adotá-la como "ferramenta diária e habitual de trabalho".

Resultado: escrever um vírus se transformou em uma tarefa sem muitas dificuldades, e logo surgiram centenas de vírus. Este realidade foi acompanhada do surgimento dos primeiros trojans capazes de roubarem senhas. A conseqüência foi imediata: por exemplo, mais de 500 variantes da família do trojan AOL - desenvolvido para roubar informações pessoais de computadores infectados - já foram identificadas pelas empresas do mercado de antivírus.

Parte 7

Na sétima parte da série produzida pela Panda Software, e traduzida pela Equipe Editorial da Módulo Security Magazine, vamos analisar como o desenvolvimento do Windows e do Visual Basic exerceram influência na história da evolução dos vírus de computador. No caminhada evolutiva de ambos, surge a primeira epidemia mundial de vírus, ocasionada pelo Melissa, em 1999.

Com o Windows mudando sua função principal, deixando de ser apenas aplicativo desenvolvido para facilitar o uso do DOS para se tornar uma plataforma 32-bit e um sistema operando de maneira própria, os criadores de vírus voltaram a utilizar o assembler como linguagem principal na programação de seus códigos maliciosos.

As versões 5 e 6 do Visual Basic (VB) também foram desenvolvidas nesta época, tornando-as as ferramentas preferidas, junto com o Borland Delphi (e o desenvolvimento do Pascal para ambientes Windows), de programadores de Trojans e worms. Em seguida, o Visual C, um poderoso ambiente de desenvolvimento C para Windows, passou a ser adotado por programadores de vírus, Trojans e worms.

Este último tipo de malware ganhou uma força incomum, se tornando muito mais freqüente do que os outros tipos de vírus. Apesar de as características dos worms apresentarem modificações durante esse período, eles mantiveram o mesmo objetivo: se disseminar para o maior número de computadores possíveis, no menor período de tempo possível.

Com o tempo, o Visual Basic se tornou extremamente popular e a Microsoft passou a implementar parte das funcionalidades desta linguagem como um "interprete" capaz de executar arquivos de script com sintaxe similar.

Ao mesmo tempo em que a plataforma Win32 foi implementada, surge o primeiro vírus de script: um malware inserido dentro de um simples arquivo de texto. Essa descoberta serviu para demonstrar que não só arquivos executáveis (.EXE e .COM, por exemplo) poderiam carregar vírus.

Como já fora demonstrado com os vírus de BAT, existem outras formas de propagação dos vírus de computadores, provando a máxima: "tudo aquilo que pode ser executado diretamente ou através de um programa interpretador, pode conter um malware". Para ser mais específico, surgem os primeiros vírus dentro de macros do Microsoft Office. Desta maneira, Word, Excel, Powerpoint e Access tornam-se meios de distribuição de "armas letais", podendo destruir informações de um sistema no simples ato de um usuário abrir um arquivo, por exemplo.

Melissa e worms de auto-execução

O potencial dos interpretadores de script no Microsoft Office permitiu aos programadores de vírus incluir em suas "criações" características dos worms. Um exemplo claro desse cenário é o Melissa, um vírus de macro do Word com características de worm que infecta documentos do Word 97 e 2000. Esse worm se envia automaticamente como um anexo de e-mail para os primeiros 50 contatos no catálogo de endereços eletrônicos (Address Book) do Outlook do computador afetado. Essa técnica, que infelizmente se tornou muito popular hoje em dia, foi utilizada pela primeira vez no Melissa, em 1999, causando - em poucos dias - uma das maiores epidemias já registradas na história dos vírus de computador. Para se ter uma idéia, empresas como Microsoft, Intel e Lucent Technologies tiveram que bloquear seus acessos com a internet devido às ações do Melissa.

A técnica utilizada pelo Melissa continuaria a ser utilizada em 1999 por outros vírus, como o VBS/Freelink que, diferentemente de seu antecessor, se auto-enviava para todos os contatos existentes no catálogo de endereços eletrônicos do computador infectado.

Essa ação se tornaria uma nova onda nessa área, no qual os worms seriam capazes de se auto-enviarem para todos os contatos do catálogo de endereços do Outlook de um computador afetado. Dentre eles, o worm que alcançou maior destaque foi o VBS/LoveLetter, mais conhecido como "I Love You", que surgiu em meados de maio de 2000, causando uma grande epidemia mundial e prejuízos estimados pelo Computer Economics em 10 milhões de euros.

Para chamar a atenção do usuário e ajudar em sua disseminação, este worm se auto-enviava numa mensagem eletrônica contendo no campo assunto (subject) o título "I LOVE YOU (EU AMO VOCÊ)" e o arquivo anexado chamado "LOVE-LETTER-FOR-YOU.TXT.VBS (CARTA-AMOR-PARA-VOCÊ.TXT.VBS)". Assim, caso o usuário abrisse esse arquivo em anexo na mensagem, seu computador seria infectado de imediato.

Assim como o Melissa, em 1999 outro tipo de vírus surgiria para se tornar um acontecimento histórico na evolução dessa área. Em novembro daquele ano, surge o VBS/BubbleBoy, um novo tipo de worm de internet escrito em VB Script. O BubbleBoy era executado automaticamente sem que fosse necessário que o usuário clicasse em um arquivo anexado em um e-mail. Essa praga se aproveitava de uma vulnerabilidade de segurança existente no navegador Internet Explorer 5.0 para se executar automaticamente quando a mensagem fosse aberta ou lida pelo usuário.

Já em 2000 surge o JS/Kak, um worm que se disseminava de forma oculta através de um Java Script inserido na opção de assinatura automática (auto-signature) de e-mail do Microsoft Outlook Express, permitindo assim a infecção de computadores sem a necessidade de que o usuário executasse qualquer arquivo em anexo de uma mensagem eletrônica. Esses são os primeiros exemplos de uma série de worms, que se juntariam mais tarde aos worms capazes de atacarem computadores quando o usuário estivesse navegando pela internet.

Parte 8

Na oitava e última parte da série produzida pela Panda Software, e traduzida pela Equipe Editorial da Módulo Security Magazine, mostraremos como os programadores de vírus começaram a explorar as vulnerabilidades em softwares utilizados habitualmente. Uma vulnerabilidade pode ser definida como um problema de segurança detectado em um programa ou sistema de Tecnologia da Informação (TI). Essas falhas são geralmente exploradas por vírus para se disseminar e infectar computadores.

Os primeiros
A tática de se explorar vulnerabilidades em softwares pode parecer um fenômeno recente, mas na verdade ela começou a ser utilizada em 1998. Essa era a maneira como o trojan Back Orifice trabalhava, utilizando portas de comunicação desprotegidas para entrar em sistemas e deixá-los a mercê para que crackers conseguissem o controle remoto de computadores.

Pouco tempo depois, as vulnerabilidades começaram a ser exploradas da mesma forma que as que conhecemos atualmente. Assim, surge em 1999 o worm BubbleBoy, que explorava uma falha de segurança no navegador Internet Explorer, no qual o vírus era simplesmente ativado quando o usuário visualizava uma mensagem eletrônica através da função "painel de visualização" (preview pane). Uma estratégia similar foi utilizada pelo worm Kak, cujo código ficava oculto na opção de assinatura automática (autosignature) de e-mails gerados no Microsoft Outlook Express.

Os exploits
Quase sempre, a exploração de vulnerabilidade em um software feita por parte dos vírus acontece através de exploits desenvolvidos por outros programadores ou, raramente, pelo próprio autor do código malicioso. Em termos técnicos, um exploit é um bloco de código que só é executado caso o computador alvo do ataque produza um erro específico e conhecido, ou seja, caso o sistema apresente a vulnerabilidade que o exploit tentará aproveitar.

A criação de um exploit é uma tarefa complexa, não disponível para qualquer tipo de usuário, pois geralmente se baseia em linguagem assembler. O grande problema é que as pessoas que criam os exploits quase sempre os disponibilizam para outros usuários maliciosos, que os incorporam dentro de programas desenvolvidos em linguagens de alto nível. Obviamente, esses programas podem ser vírus de computador que, com a preciosa ajuda dos exploits, podem infectar computadores que possuam as vulnerabilidades alvo dos exploits.

Assim, a inclusão dos exploits dentro dos vírus ou worms representa uma nova era para os códigos maliciosos. O fato de um vírus se disseminar ou infectar computadores explorando determinadas vulnerabilidades implica em vantagens críticas para os programadores de vírus. Por um lado, se uma vulnerabilidade afeta um sistema operacional, como por exemplo o Windows, isso significa que há milhares de potenciais vítimas para um ataque de vírus. Por outro, um vírus que inclua exploits pode alcançar uma extraordinária velocidade de programação, já que nada pode interromper seu caminho.

Por exemplo, se um vírus explorasse uma vulnerabilidade que o deixasse entrar em computadores com portas de comunicação desprotegidas, mesmo um antivírus atualizado só poderia detectá-lo quando ele já estivesse ativo no sistema. Neste caso, o antivírus até seria capaz de detectá-lo e eliminá-lo, mas não poderia impedir que tal vírus entrasse outra vez. A única solução seria reparar a vulnerabilidade que o vírus estivesse explorando no sistema.

Assim, não é surpresa que vírus iguais a estes causem epidemias mundiais todas as vezes que aparecem. Klez, Blaster, Mydoom, Sasser & são apenas alguns exemplos!

Na maioria das vezes, no passado, a ativação de um código malicioso provocou uma série de mensagens ou de imagens na tela do computador da vítima ou ainda acionava a emissão de sons para chamar a atenção dos usuários.

Este é o caso do vírus "Ping Pong", que uma vez executado lançava uma bola que saltava de um lado para outro na tela do computador. Este tipo de programação foi utilizada pelo criador do vírus para ganhar o máximo de notoriedade possível. Hoje em dia, entretanto, o oposto é a norma, com os autores dos vírus tentando fazer o código malicioso ser discreto o máximo possível, para infectar os sistemas sem que os usuários saibam o que está acontecendo.

Fonte: www.modulo.com.br
Autor: Módulo Security Magazine