Das declarações de amor ao lucro: como as pragas digitais evoluíram

0

Os vírus de computador – também chamados de malwares ou códigos maliciosos – são hoje uma ferramenta indispensável da atividade criminosa na internet, o “cibercrime”. Mas nem sempre foi assim: muitos vírus foram criados da década de 80 até o início dos anos 2000 como uma forma de “brincadeira” ou trote digital – ainda que, algumas vezes, estas brincadeiras custassem bastante caro.

Embora os vírus de computador usados por cibercriminosos tenham deixado para trás qualquer vestígio de inocência, eles ainda retêm algumas características ou funções que apareceram nessas primeiras pragas digitais, como o uso de técnicas para dificultar a análise do funcionamento do programa, o uso de “scripts”, a tentativa de atacar programas antivírus e a modificação do setor de boot do computador.

Os primeiros vírus que tentavam desabilitar o programa antivírus eram chamados de retrovírus. Esse tipo de comportamento ficou tão comum em pragas modernas que o termo caiu em desuso – ele simplesmente não tem mais utilidade descritiva. Muitos vírus hoje verificam se um antivírus está presente para adaptar seu comportamento ou interferir com o programa para evitar a detecção.

(Foto: Nikolaus Wogen/Freeimages.com)

Vírus faziam declarações de amor

Alguns vírus antigos tinham em seu código declarações de amor, algumas vezes para pessoas específicas. É o caso do vírus Daniela, uma variação do vírus Stoned que reescrevia o setor de inicialização do computador (chamado de “setor de boot”) com a frase “Eu Te Amo Daniela” (assim mesmo, em português).

O vírus Stoned original foi criado em 1987, mas a variação Daniela aparece na Wildlist – uma antiga lista de vírus que estavam em circulação – em 1995. O vírus se espalhava por disquetes e destruía a inicialização do sistema em uma data específica. No caso do Daniela, era no dia 5 de abril.

Aliás, a ativação em datas específicas também é algo que praticamente não existe mais em vírus atuais, exceto em situações muito específicas. Em vírus antigos, definir uma data específica para ativar o vírus ajudava a praga digital a ter um tempo para se espalhar antes de ativar alguma rotina que denunciasse a presença do vírus.

Uma praga digital mais nova, datada de 2002, faz um tributo à cantora Avril Lavigne. A praga usa um registro de inicialização chamado de “Avril Lavigne Musa” (em inglês) e abre a página oficial da cantora de tempos em tempos. Esse vírus é capaz de roubar senhas e se espalhar sozinho por e-mail.

Dois vírus com declarações de amor geraram grandes epidemias. O primeiro foi o ILOVEYOU (“eu te amo”), também chamado de LoveLetter, e o Blaster. Ambos estão entre os vírus mais icônicos da história. No caso do LoveLetter, a declaração de amor era parte da isca para que as vítimas executassem o vírus, que chegava por e-mail.

Já o Blaster, que era capaz de contaminar um computador com Windows desatualizado em minutos após ele e conectar à internet sem que a vítima tivesse que clicar ou abrir nada, tinha uma mensagem de amor dentro do código que jamais era exibida. A mensagem, “eu só quero dizer que te amo, San” (em inglês) é a origem de um dos “apelidos” do vírus: Lovesan.

Esse tipo de declaração parou de aparecer dentro dos vírus. Hoje, os programadores evitam deixar rastros legíveis ou mensagens. Quando deixam, pode ser algo intencional para despistar analistas. Por exemplo, um vírus que foi programado no país A tenta incluir frases no idioma do país B para que especialistas errem na hora de atribuir uma origem ao código. Esse tipo de truque é chamado de “false flag” (bandeira falsa, em português).

Imagem: Trecho do arquivo do vírus Blaster. (Foto: F-Secure)

Vírus de hoje ainda usam “scripts” e modificam boot

O vírus LoveLetter deixou um grande legado para os criadores de vírus: o truque de utilizar “scripts”. Scripts são códigos e podem fazer muitas das mesmas coisas que programas normais, mas eles são executado por um interpretador. Na prática, isso significa que o código do script está em texto, ou seja, ele é legível, diferente do código de máquina usado por programas comuns.

A grande vantagem dos scripts está na facilidade com que eles podem ser modificados e adaptados. Como os antivírus necessitam de uma assinatura (ou “vacina”) para detectar um vírus, o script pode facilmente ser modificado para ser diferente daquele código que o antivírus reconhece. Com isso, criminosos têm menos trabalho para reciclar seus códigos.

Os ataques da campanha Boleto Mestre, divulgada recentemente pela empresa de segurança Palo Alto Networks (http://g1.globo.com/tecnologia/blog/seguranca-digital/post/boletos-falsos-servem-de-isca-para-contaminar-pcs-com-virus.html) é um exemplo. A praga digital é instalada por um script do tipo VBS, o mesmo tipo que era usado pelo vírus LoveLetter.

Vírus antigos também alteravam setores de inicialização (ou “Master Boot Record”, MBR). O MBR é uma parte do disco rígido onde ficam informações básicas para iniciar o sistema que está instalado no computador. Essa prática, que existia em vírus como o já mencionado Stoned de 1987, foi vista no vírus NotPetya, que foi inicialmente classificado como vírus de resgate, mas depois passou a ser considerado um vírus puramente destrutivo (http://g1.globo.com/tecnologia/blog/seguranca-digital/post/novo-petya-e-praga-destrutiva-e-nao-virus-de-resgate-dizem-especialistas.html). Alterando a inicialização, o NotPetya impedia o computador de ligar.

A diferença entre os vírus antigos e novos nessa questão é que, para os vírus antigos, alterar o setor de inicialização fazia parte da estratégia de disseminação. Criando um setor de inicialização infectado em um disquete, o vírus conseguia ser executado automaticamente quando as pessoas esqueciam o disquete contaminado no computador ao ligar a máquina. Nos vírus modernos, a alteração desse setor é sempre usada para dificultar a remoção da praga digital ou para destruir o sistema.

Dúvidas em segurança? Envie para g1seguranca@globo.com

Fonte: G1

LEAVE A REPLY

Please enter your comment!
Please enter your name here