Vírus
e cia.
Vírus de Macro
Macro - comandos
Quando se usa alguns programas,
por exemplo um editor de texto, e necessita-se executar uma tarefa
repetidas
vezes em seqüência (por exemplo substituir todos os "eh" por
"é") pode-se editar um comando único para
efetuá-la.
Esse comando é chamado comando de macro e pode ser salvo em um
modelo para ser aplicado em outros arquivos.
Além dessa
opção
da própria pessoa fazer um modelo os comandos básicos dos
editores de texto também funcionam com modelos. Os vírus
de macro ou macrovírus,
atacam justamente esses arquivos comprometendo o funcionamento do
programa.
Os
alvos principais são programas de uso comum,
notadamente da
MicroSoft: o editor de texto (
Word )
e a planilha de cálculo ( Excel
). Depois
de ativos, os macros podem executar, sorrateiramente e
automaticamente,
uma série de comandos toda vez que um arquivo é aberto.
Ou
seja, outro documento que continha macros pode, ao ser aberto, infectar
um que que originalmente nao os tinha.
Um
caso muito interessante é o do vírus Melissa,
cuja disseminação foi muito rápida, tendo
forçado
diversas empresas a desligarem seus servidores de e-mail em 26/03/99.
Ao
contrário dos vírus até então existentes,
que
se limitavam à arquivos executáveis ou afins e
áreas
de boot, os macrovírus infectam e se espalham por arquivos de
dados,
cuja simples abertura pode ativar o vírus.
Características dos macrovírus
- A disseminação
desse tipo de vírus é muito mais
rápida,
pois documentos são muito móveis e passam de
máquina
em máquina (entre colegas de trabalho, estudantes, amigos). Ao
escrever,
editar ou, simplesmente, ler arquivos vindos de computadores infectados
a contaminação ocorre. Assim, verdadeiras "epidemias"
podem
acontecer em pouco tempo.
- Além
disso, os macrovírus constituem a primeira categoria de
vírus
multiplataforma, ou seja, não se limitam aos computadores
pessoais,
podendo infectar também outras plataformas que usem o mesmo
programa,
como o Macintosh, por exemplo.
Quando
a macro é ativada (por exemplo, a macro AutoOpen do Word) os
comandos
nela existente se autocopiam, juntamente com qualquer outra macro que o
vírus necessite.
Assim,
quando abrimos um documento infectado, automaticamente executamos o
codigo
virótico. Esse código altera o ambiente interno do Word
de
forma que todos os futuros documentos salvos utilizando a
função
"Auto open" sejam infectados com o código virótico. O
destino
dessas cópias é a memória o Modelo global do Word
ou o arquivo Normal.dot, de onde o vírus
contaminará
qualquer novo documento que for criado ou, mesmo, qualquer documento
que
for aberto.
-
Um
outro agravante em relação a esses vírus é
a facilidade
de lidar com as linguagens de macro,
no que diz respeito à edição e
criação,
dispensando que o criador do vírus seja um especialista em
programação,
ao contrário da linguagem assembly, nem um pouco amigável
e altamente abstrata. Isso acarretou no desenvolvimento de muitos
vírus
e inúmeras variantes, em um período curto de tempo.
Cuidados a serem tomados
1. Copiar e instalar os "viewers"
Os
documentos do Word, do Power-Point e do Excel podem transmitir
vírus,
ativados por macros. Uma das maneiras de conseguir
poteção
é copiar diretamente do site da Microsoft os programas "viewer´s'
(visualizadores) gratuitos
Word-Viewer,
PowerPoint-Viewer e Excel-Viewer.
Como
eles são apenas visualizadores, eles não executam nenhuma
instrução macro. Permitem visualizar e imprimir todo o
documento,
com toda a sua formatação sem precisar abrí-lo.
No caso do visualizador do
Word, depois de instalado surgirão outras opções -
WordView - no menu de contexto (o menu que aparece quando se clica com
o botão direito do mouse sobre o nome do arquivo, dentro do
Windows
explorer). Portanto ao clicar em um arquivo tipo .doc, por exemplo, o
programa
Word-Viewer é que abrirá o arquivo.O
WordView é um programa que vem no CD das últimas
versões do Microsoft Office mas
também pode ser copiado a partir do site da Microsoft:
http://officeupdate.microsoft.com/downloadDetails/wd97vwr32.htm
ou diretamente no arquivo
http://officeupdate.microsoft.com/isapi/gooffupd.asp?TARGET=/downloaditems/wd97vwr32.exe
2. Atualizar e configurar o Word
Para proteger o Word contra vírus de macro, instale o "Word
97 Template
Security Patch", disponível no site da Microsoft, no
seguinte endereço:
http://www.microsoft.com/security/bulletins/ms99-002.asp
Entretanto,
algumas configurações básicas que visam proteger a
segurança do Word podem ser feitas manualmente:
proteger o arquivo normal.dot com senha e habilitar algumas
opções.
3. Proteger o "normal.dot" com senha
a. Abra o Word
b. Selecione no menu: Ferramentas / Macro / Editor do Visual Basic (Tools
/Macro / Visual Basic Editor
c. Na janela "Projetos"(Project), selecione "Normal"
d. Selecione no menu: Ferramentas / Propriedades (Tools / Normal
properties)
e. Selecione a aba "Proteção" (Protection)
f. Marque a opção "Protege projeto para
visualização"
(Look project for viewing) e coloque uma senha nos dois campos
abaixo
g. Clique em OK. Feche o Editor do Visual Basic e feche o Word
4. Habilitar opções de segurança no Word
a. Abra o Word
b. Selecione no menu: Ferramentas
/ Opções (Tools / Options)
c. Selecione a aba "Geral" (General)
d. Marque as opções
Confirmar conversão ao abrir" (Confirm conversion at open)
e "Ativar proteção contra vírus de macro" (Macro
virus protection)
e. Selecione a aba "Salvar"
f. Marque a opaco "Emitir aviso para salvar Normal.dot" (Prompt to
save Normal template)
g. Clique em OK e feche o Word.
Com essas configurações, ao abrir um documento que
contenha
macros, o Word irá perguntar se você deseja:
a. abrir o documento com as macros habilitadas
b. abrir o documento desabilitando as macros
c. cancelar a abertura.
Só se deve abrir um documento do Word com macros se estiver
esperando alguma programação especial no documento e
souber
exatamente o que ele deve fazer.
Medidas gerais de prevenção
Há um conjunto de procedimentos gerais de prevenção
contra vírus e outros programas maliciosos que sempre
devem ser realizados (em qualquer computador, especialmente nos
conectados
à Internet).
Essas medidas podem ser resumidas assim:
1. Jamais executar um programa ou abrir um arquivo sem antes
executar o antivírus sobre a pasta que o contenha.
2. Atualizar o seu antivírus
constantemente (todas as semanas e até diariamente as empresas
distribuem
cópias gratuitas dos arquivos que atualizam a lista dos novos
vírus e vacinas).
3. Desativar a opção
de executar documentos diretamente do programa de correio
eletrônico.
4. Jamais executar programas
que não tenham sido obtidos de fontes absolutamente
confiáveis.
Leia mais sobre esse assunto, clicando aqui.
Onde obter mais informações
ftp://ftp.rubyriver.com/pub/jhardin/antispam/procmail-security.html
http://ciac.llnl.gov/ciac/bulletins/i-023.shtml
http://housecall.antivirus.com/smex_housecall/technotes.html
http://officeupdate.microsoft.com/articles/macroalert.htm
http://vil.mcafee.com/vil/vm10118.asp
http://www.cert.org/tech_tips/incident_reporting.html
http://www.ciac.org/ciac/bulletins/j-037.shtml
http://www.geocities.com/Eureka/5301/index-2.htm
http://www.infoworld.com/cgi-bin/displayStory.pl?990326.wcvirus.htm
http://www.innosoft.com/iii/pmdf/virus-word-emergency.html
http://www.microsoft.com/security/bulletins/ms99-002.asp
http://www.nai.com/services/support/vr/free.asp
http://www2.uol.com.br/info/infonews/031999/29031999-1.sh
(Baseado em mails de
Max
Stocker ).
Este
"site", destinado prioritariamente aos alunos de Fátima Conti,
pretende
auxiliar quem esteja começando a se interessar por internet,
segue as regras da
FDL (Free Documentation Licence),
computadores
e programas, estando em permanente construção.
Sugestões
e comentários são bem vindos.
Se
desejar colaborar, clique
aqui.
Agradeço
antecipadamente.
Deseja
enviar
essa página?
Se
você usa um programa de correio eletrônico devidamente
configurado
e tem
um
e-mail
pop3, clique em "Enviar página" (abaixo) para abrir o
programa.
Preencha
o endereço do destinatário da mensagem.
E
pode acrescentar o que quiser.
(Se
não der certo, clique aqui
para saber mais).
Enviar
página
Se você usa webmail
copie o endereço abaixo
http://www.cultura.ufpa.br/dicas/vir/vir-macr.htm
Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.
Última alteração: 20 fev 2007