Como funcionam
Ao executar um programa infectado ou acessar um disquete contaminado, o vírus passa para a memória (RAM) do micro. Estando residente em memória, ele passará a interceptar todas as rotinas de acesso a arquivo e disco do sistema operacional; sempre que um novo arquivo for acessado, o vírus adicionará uma cópia de si próprio neste arquivo (caso o vírus seja um "vírus de arquivo"). Outro tipo de vírus, conhecido como "vírus de boot" não se esconde em arquivos, mas no setor de boot de disquetes e de discos rígidos. Esse tipo de vírus grava uma cópia de si próprio em todos os disquetes que forem inseridos no drive. Essa é a "fase de contaminação", onde o vírus tenta se espalhar o máximo possível.
Repare que o vírus estará ativo a partir do momento em que está carregado em memória (RAM). No caso de vírus de arquivo, eles tratam de infectar logo o arquivo COMMAND.COM, que é um dos primeiros arquivos a serem carregados pelo sistema operacional. Como o COMMAND.COM é sempre carregado, o vírus sempre estará em memória. No caso de vírus de boot, o vírus é carregado antes do sistema operacional, pois há uma modificação na rotina de boot do disquete ou do disco rígido.
Por este motivo, não adianta nada executar um programa antivírus a partir de um micro infectado. Caso você "rode" o antivírus, o mais provável de ocorrer é o próprio vírus contaminá-lo, pois ele estará carregado em memória. Ou então, irá acontecer de você retirar o vírus e ele novamente contaminar arquivos ou o setor de boot, uma vez que ele ainda estará presente na memória (RAM).
Desta forma, para executar um programa antivírus, você deverá preparar um disquete de boot (com o comando FORMAT A:/S) e copiar o antivírus para este disquete. É claro que este procedimento deverá ser executado em um micro "limpo", sem vírus. Depois, basta dar um boot com o disquete antivírus que você preparou, ou seja inserir o disquete no drive e ligar o micro. Não se esqueça de alterar a seqüência de boot no setup. Para isto, pressione a tecla [DEL] durante a contagem de memória; altere a opção "boot sequence" de "C,A" para "A,C", no menu "advanced setup". Saia do setup gravando as alterações feitas.
Outro caso muito comum é o do usuário leigo que fica reclamando "este vírus é danado mesmo; já reformatei o disco rígido mais de 5 vezes e ele continua lá!" Primeiro que a formatação do disco rígido só é recomendada em último caso - quando o antivírus realmente não consegue retirar o vírus do disco rígido. Em segundo lugar, se você precisar reformatar o disco rígido, deverá fazê-lo dando um boot com um disquete "limpo", preparado em um micro não-infectado. Caso você tente formatar o disco rígido dando boot por ele mesmo, o vírus irá ser carregado em memória (RAM) e, logo após você ter acabado de formatar o disco, o vírus irá imediatamente se copiar para lá...
Os vírus ficam nesta fase de contaminação até entrarem em atividade. Há várias maneiras do vírus entrar em atividade, a mais divulgada pela mídia é através de uma data específica. O vírus Michelangelo, por exemplo, entra em atividade no dia 6 de março, quando, então, destrói dados do disco rígido.
Quando o vírus entra em atividade várias coisas podem ocorrer. Em geral o micro "fica maluco", com um comportamento totalmente anormal - o micro fica apresentando muitas mensagens de erro e "travando" constantemente. Alguns tipos de vírus destróem dados e outros simplesmente apresentam mensagens pacíficas.
Nenhum comentário:
Postar um comentário