 Alarme Falso
|
| Antes de remover um vírus de um arquivo, de chamar o corpo de bombeiros ou de resolver tirar férias prolongadas, você precisa decidir se o que você tem é um vírus real ou um alarme falso (algumas vezes denominado de "falso positivo" - o programa antivírus indica a presença de um vírus inexistente). Alarmes falsos têm uma série de causas prováveis: |
Rodar dois detectores de vírus em sequência.
Rodando um antivírus de baixa qualidade e, logo em seguida, outro de baixa qualidade, você pode provocar um alarme falso de vírus na memória. O antivírus 1 lê suas referências de um arquivo e as coloca na memória. Uma ou mais dessas referências foram copiadas de livros (como o Virus Bulletin), de onde outros produtores de antivírus também fazem cópias. (A maioria dos produtores copiam estas referências quando não conseguem obter um espécime do vírus). O antivírus 1 termina sua rotina e não limpa a memória. As referências continuam lá até serem sobre-escritas por outro programa. Agora o antivírus 2 é rodado e procura comparar suas próprias referências com o que encontra na memória. Acha uma referência coincidente e, por incrível que pareça, grita por socorro.
- O antivírus 1 é "pobre" porque deixou strings não encriptadas na memória ao terminar a rotina de detecção. O antivírus 2 é "marreta" porque o vírus por ele anunciado certamente não poderia estar localizado onde descrito. Um vírus carregado na parte baixa nunca poderá ser encontrado na parte média ou alta da memória convencional; um vírus carregado na parte alta (logo abaixo dos 640K) nunca poderá ser encontrado na parte baixa.
- Bons programas antivírus nunca deixam strings de referência na memória, permitindo a atuação de um segundo antivírus. Procuram por strings de rastreamento na memória de forma seletiva, ou seja, posição-dependente.
- Nesta condição é simples decidir se o alarme é falso: registre o nome do vírus encontrado, faça uma re-inicialização segura (ou seja, um clean boot com disquete seguramente não infectado) e rode o antivírus 2 novamente, rastreando o drive inteiro. Se o vírus for real, este mesmo vírus recém-encontrado na memória será detectado no drive. Se isto não ocorrer, o alarme anterior foi um alarme falso.
|
Um antivírus transferindo seu dígito verificador (checksum) a outro.
Muitos antivírus adicionam códigos a arquivos para "inocular" os arquivos verificados. A inoculação é o processo de rastrear arquivos à procura de vírus utilizando strings de rastreamento e, posteriormente, adicionar aos arquivos rastreados um dígito verificador (checksum). Este dígito verificador pode ser a soma dos bytes do arquivo ou a soma dos bytes iniciais e, às vezes, dos bytes finais, do arquivo rastreado. Numa segunda verificação, o programa antivírus transforma-se num verificador de checksum, comparando a checksum corrente com a checksum agregada ao arquivo.
- Quando um arquivo é inoculado, seu tamanho em bytes aumenta. Se, por acaso, este arquivo for o de um programa que faz sua própria checksum antes de carregar, notará que foi modificado e, usualmente, aborta a execução dando uma mensagem de que foi modificado. Se o programa não fizer uma auto-checagem, então um alarme falso pode ser gerado se dois antivírus tentarem inocular o mesmo arquivo. O segundo antivírus nunca terá problemas em efetuar a inoculação porque seu dígito verificador é calculado somando os bytes do programa e do código da primeira inoculação. O primeiro antivírus, porém, sempre indicará um problema porque o programa foi alterado e aumentou de tamanho depois da primeira inoculação. Em alguns casos, o primeiro inoculador é capaz de remover os efeitos do segundo inoculador.
- Se você possui produtos de inoculação e faz um upgrade para outro produto, é muito importante remover as inoculações antigas antes de descartar o produto antigo. Lembre-se, apenas o inoculador original pode remover suas próprias inoculações.
|
Alarme falso causado por brincadeiras.
Programas-gozação ou brincadeira (joke programs) podem fazer com que as letras "escorreguem" na tela, que janelas com avisos estranhos apareçam "do nada" ou que "água foi detectada no seu drive A:". Estes programas não são vírus, mas os usuários acreditam com frequência de que sejam. Podem ser muito engraçados para quem os criou, porém...
- Como distinguir programas-gozação de vírus? Existem muitas maneiras. Vírus raramente jogam mensagens na tela; programas-gozação sem mensagens "engraçadas" na tela não têm muita graça. Cerca de 60% dos vírus são residentes em memória; a maioria dos programas-gozação são simples programinhas
não residentes chamados através de um batch file (arquivo de lote). E o mais importante: vírus se replicam (fazem cópias de si mesmos); programas-gozação não se replicam.
- Programas-gozação podem ser detectados procurando-se alguma linha estranha no arquivo AUTOEXEC.BAT ou procurando-se por algum programa que não seja familiar. O programa MEM do DOS também pode auxiliar a encontrar o "joke program" na memória, se ele estiver residente. Não é possível "remover" o programa-gozação, é necessário apagar (deletar) o arquivo.
|
Alarme falso por hardware, software ou erro do usuário.
O hardware, o software e as dificuldades de usuários continuam sendo confundidas com vírus. "Minha impressora não está funcionando! Será um vírus?" pergunta o usuário antes mesmo de verificar se o cabo de força está fora da tomada. Muitas vezes, a distinção entre vírus e não-vírus é difícil. "PARITY ERROR" (erro de paridade) pode vir de uma máquina com um chip de memória avariado ou de um vírus que mostra essa mensagem. "Insira um XBurger no drive A:" é mais coisa para vírus. A distinção pode ser difícil ou fácil, mas o bom-senso deve sempre prevalecer! |
Tutorial sobre Vírus: ALARME FALSO
| Mapa do Site | Novidades | Busca | 
Indique esta página | 