A nossa “pancada” com os vírus tem uma história interessante: no início do curso, no 1º ano, verificava-se um grande descuido por parte dos alunos de Informática em relação à integridade do seu PC e dos PCs do laboratório. Toda a informação circulava e a preocupação com a segurança passava apenas por ter um antivírus na máquina, atualizado como não. Como era de se esperar, surgiu uma epidemia de vírus não só nos PCs do laboratório como nos de nossas casas também.
Por causa deste sucedido, demo-nos conta que a segurança da máquina depende 60% do seu utilizador
Por causa deste sucedido, demo-nos conta que a segurança da máquina depende 60% do seu utilizador
e 40% dos antivírus e firewalls. Agora após a leitura desta apostila, o utilizador passa a ser responsável por 90% da segurança do seu PC, deixando os antivirus de lado, embora ainda aconselho a usar um firewall para filtragem do tráfego pela internet, que passam a ficar com os 10%.
Fica aqui quebrado o mito: é possível remover um vírus sem um antivírus ou uma outra ferramenta de remoção de malwares.
Removendo o Vírus
A lógica de remoção de vírus consiste em detectá-lo primeiro, e depois removê-lo. O passo mais trabalhoso é o primeiro, pois identificá-lo é complicado e requer prática e intuição, mas isso é coisa que se ganha com o tempo. Um dos motivos pelos quais alguns vírus passam despercebidos pelos antivírus é pelo facto de, hoje em dia os criadores de vírus se preocuparem muito mais com as práticas de evasão na programação do vírus, ou seja, passar despercebido ao sistema vitimado. Todos os vírus, worms, malwares, etc., quando entram no nosso PC, a primeira coisa que fazem é esconder-se, alguns são autoreplicativos (copiam-se à si próprios para outros directórios, como acontece com os worms ), se detectarem um antivírus do seu conhecimento destroem-no, gravam uma entrada no arranque da máquina de formas à que quando o PC seja reiniciado ele seja de novo executado, e só depois entram em actividades comprometedoras e danosas para a máquina.
Sem mais conversa, vamos ao que interessa, descrevendo os passos para atingir os nossos objectivos:
1º Detectar se existe vírus, à partir do registo. Para tal, abra o editor do registo do
Windows, ou regedit, apertando a combinação de teclas Windows + R, aparecerá
uma caixa de diálogo, você deve digitar regedit ou através do menu iniciar, e clicar em Ok, como mostra a figura:
2º Uma vez o registo aberto, lembre-se primeiro de fazer o backup do registo, pois
você pode fazer uma alteração indesejada ou ocorrer um erro, e dizer adeus ao seu
PC, pois ele pode nunca mais vir a ligar. Este passo aconselho principalmente aos
principiantes a mexer com o registo. Para fazer o backup, abra o menu File ou
ficheiro, conforme o idioma escolhido, seleccione o item export, e aparecerá uma
janela pedindo para você escolher aonde salvar os ficheiros do registo, seleccione o
directório e clique em save, como mostra a figura:
3º Você precisa de saber que o registo está organizado por 7 hives( colmeias ), mas
visíveis só aparecem 5. Uma hive é semelhante à uma partição no disco duro( ex: C:\,
D:\ ). Dentro dessas hives existem chaves, dentro das quais podem haver outras subchaves e/ou valores. Existem vários tipos de valores, entre os quais passo a citar o
valor binário, o valor de cadeia, o valor dword e entre outros. Na figura seguinte
estão visíveis as 5 hives que o registo do Windows 7 apresenta:
HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS
e HKEY_CURRENT_CONFIG. As 2 hives que não aparecem visíveis são
HKEY_DYN_DATA e HKEY_PERFORMANCE_DATA, estas contêm informação volátil e
que está constantemente a ser alterada pelas aplicações, daí o facto de estarem
ocultos ao utilizador, devido à sua grande sensibilidade à alterações.
A figura seguinte apresenta à esquerda as hives, algumas chaves da hive
HKEY_LOCAL_MACHINE, e à direita um valor ( de nome flash ) da chave seleccionada( que
no caso é a denominada HKEY_LOCAL_MACHINE\SOFTWARE ).
Para abrir as chaves duma hive ou chave, basta clicar duas vezes sobre ela ou simplesmente clicar na Seta que está à esquerda do nome da chave ou hive.
As informações respeitantes ao utilizador em cuja a conta nós estamos atualmente a
trabalhar estão organizadas na hive HKEY_CURRENT_USER, e as informações respeitantes à todos os utilizadores do computador e à configurações de hardware, estão organizadas na hive HKEY_LOCAL_MACHINE. Isto implica dizer que, se nós quisermos alterar algo para o nosso perfil, temos de nos lembrar que pode ser que tenhamos que alterar também nas configurações de todos os utilizadores, algo que os vírus muito fazem.
Para mais informações sobre como trabalhar com o registo do Windows, consulte a
seguinte referência bibliográfica:
TÍTULO: Mastering Windows XP Registry
AUTOR: Peter D. Hipson
ISBN: 978-0-7821-2987-8
Com certeza você deve estar a se perguntar “Que chatice, porque estou eu a perder o meu tempo a aprender como manejar o registo, quando o que eu preciso realmente é de chegar ao vírus e matá-lo?”. Na nossa opinião, você tem toda a razão. Na realidade você não precisa de saber muito sobre o registo para chegar ao vírus. O 3º passo consistiu em você questionar-se aonde encontrar o vírus no registo, pergunta que será respondida no passo seguinte.
4º Como referido atrás, os vírus gravam uma entrada no arranque para que o sistema ao ser reiniciado lembre-se de executá-lo. Pois bem, é numa chave aonde os vírus criam um valor com o seu caminho ou destino no disco duro. Mas quais são essas chaves sagradas?
Essas chaves, que de sagradas não têm nada, serão mencionadas em seguida:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
O que você tem de fazer é ir à cada uma dessas chaves, procurar por valores com nomes suspeitos, como “chickie”, “Ravmon”, ou ainda nomes muito parecidos com os de certos ficheiros do sistema operativo Windows, com o intuito de passarem despercebidos, tal como “Exiplorer”. Muitas vezes o nome do valor pode não ter nada a ver com o nome do ficheiro no disco duro, como exemplo, há programadores de vírus que têm o hábito de pôr como nome do valor do vírus no registo Messenger ou Msn, quando na realidade Messenger é um programa de conversa entre duas pessoas. Contudo é bom você confirmar o nome do valor com o nome do ficheiro no disco duro.
Se você achou um valor do qual você suspeita, confirme se é um vírus ou não, simplesmente procurando na internet pelo nome do ficheiro associado ao valor do qual você suspeita.
Mas não se preocupe, eu vou exemplificar; embora minha máquina não tenha vírus, o que seria quase impossível de exemplificar o acto da remoção do vírus, eu vou executar um dos vírus que eu tenho guardado no meu PC, numa pasta, cuja intenção é de apenas estudá-lo ( não aconselho ninguém a fazer o mesmo, pois o feitiço pode voltar-se contra o feiticeiro ).
Primeiro, ir para a chave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
Tal como a seta aponta, eis o nome do valor associado ao vírus norBtok.exe. Agora, vamos à localização no disco duro e eliminámo-lo. Copiamos a sua localização, que é
“C:\Windows\Inf\”, e vamos até esse directório no disco duro, simplesmente colando o caminho na barra de pesquisa do menu iniciar como mostra figura, e apagámo-lo.
A cena do crime não mostramos, deixa-mos à vossa imaginação, e recordamo-nos de como sentimos-nos à primeira vez quando eliminamos um vírus manualmente ( a sensação é óptima, e sentimos que estamos a fazer um bem à comunidade ).
À seguir, retiramos a referência no arranque do vírus desta chave, apagando este valor, e para tal clique com o lado direito do mouse sobre o valor associado ao vírus, seleccione o item apagar e confirme que pretende apagá-lo clicando sim, na caixa de diálogo que aparecer.
E este é o aspecto da chave limpa ( sem a referência para o vírus ):
E pronto, a primeira das 5 chaves de arranque foi verificada e limpa. Agora, é só repitir o 4º passo, para as 4 chaves seguintes.
Lembre-se sempre que, caso alguma alteração inesperada ou erro aconteça, você pode
sempre recuperar o registo anterior, pois se você se recorda, você fez um backup antes de qualquer alteração. Para repôr as informações do registo para as anteriores, depois de alterado, basta abrir o regedit, clicar no menu Ficheiro, seleccionar o item Import, ir para o directório aonde o backup do registo foi feito, e abrí-lo.
Conclusão
Podemos tirar muitas conclusões sobre a “habilidade de não depender dum antivírus”, não só analisando em termos de conhecimento mas também em termos de desempenho do nosso PC. Atualmente, os melhores antivírus são na nossa óptica muito pesados e acreditem, nós já testamos muitos, e dentre esses muitos estão os melhores, como é o caso do Kaspersky, TrendMicro e BitDefender, fica aqui a referência para aqueles leitores que acharem uma seca essa coisa de “remover manualmente”! Acreditem, às vezes nós próprios achamos uma seca... já não se fazem vírus como antigamente... : Por Não ter instalado um antivírus torna a máquina mais rápida, pois poupa memória RAM, espaço em disco duro e tempo de CPU.
Fica aqui quebrado o mito: é possível remover um vírus sem um antivírus ou uma outra ferramenta de remoção de malwares.
Removendo o Vírus
A lógica de remoção de vírus consiste em detectá-lo primeiro, e depois removê-lo. O passo mais trabalhoso é o primeiro, pois identificá-lo é complicado e requer prática e intuição, mas isso é coisa que se ganha com o tempo. Um dos motivos pelos quais alguns vírus passam despercebidos pelos antivírus é pelo facto de, hoje em dia os criadores de vírus se preocuparem muito mais com as práticas de evasão na programação do vírus, ou seja, passar despercebido ao sistema vitimado. Todos os vírus, worms, malwares, etc., quando entram no nosso PC, a primeira coisa que fazem é esconder-se, alguns são autoreplicativos (copiam-se à si próprios para outros directórios, como acontece com os worms ), se detectarem um antivírus do seu conhecimento destroem-no, gravam uma entrada no arranque da máquina de formas à que quando o PC seja reiniciado ele seja de novo executado, e só depois entram em actividades comprometedoras e danosas para a máquina.
Sem mais conversa, vamos ao que interessa, descrevendo os passos para atingir os nossos objectivos:
1º Detectar se existe vírus, à partir do registo. Para tal, abra o editor do registo do
Windows, ou regedit, apertando a combinação de teclas Windows + R, aparecerá
uma caixa de diálogo, você deve digitar regedit ou através do menu iniciar, e clicar em Ok, como mostra a figura:
você pode fazer uma alteração indesejada ou ocorrer um erro, e dizer adeus ao seu
PC, pois ele pode nunca mais vir a ligar. Este passo aconselho principalmente aos
principiantes a mexer com o registo. Para fazer o backup, abra o menu File ou
ficheiro, conforme o idioma escolhido, seleccione o item export, e aparecerá uma
janela pedindo para você escolher aonde salvar os ficheiros do registo, seleccione o
directório e clique em save, como mostra a figura:
visíveis só aparecem 5. Uma hive é semelhante à uma partição no disco duro( ex: C:\,
D:\ ). Dentro dessas hives existem chaves, dentro das quais podem haver outras subchaves e/ou valores. Existem vários tipos de valores, entre os quais passo a citar o
valor binário, o valor de cadeia, o valor dword e entre outros. Na figura seguinte
estão visíveis as 5 hives que o registo do Windows 7 apresenta:
HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS
e HKEY_CURRENT_CONFIG. As 2 hives que não aparecem visíveis são
HKEY_DYN_DATA e HKEY_PERFORMANCE_DATA, estas contêm informação volátil e
que está constantemente a ser alterada pelas aplicações, daí o facto de estarem
ocultos ao utilizador, devido à sua grande sensibilidade à alterações.
HKEY_LOCAL_MACHINE, e à direita um valor ( de nome flash ) da chave seleccionada( que
no caso é a denominada HKEY_LOCAL_MACHINE\SOFTWARE ).
Para abrir as chaves duma hive ou chave, basta clicar duas vezes sobre ela ou simplesmente clicar na Seta que está à esquerda do nome da chave ou hive.
trabalhar estão organizadas na hive HKEY_CURRENT_USER, e as informações respeitantes à todos os utilizadores do computador e à configurações de hardware, estão organizadas na hive HKEY_LOCAL_MACHINE. Isto implica dizer que, se nós quisermos alterar algo para o nosso perfil, temos de nos lembrar que pode ser que tenhamos que alterar também nas configurações de todos os utilizadores, algo que os vírus muito fazem.
Para mais informações sobre como trabalhar com o registo do Windows, consulte a
seguinte referência bibliográfica:
TÍTULO: Mastering Windows XP Registry
AUTOR: Peter D. Hipson
ISBN: 978-0-7821-2987-8
Com certeza você deve estar a se perguntar “Que chatice, porque estou eu a perder o meu tempo a aprender como manejar o registo, quando o que eu preciso realmente é de chegar ao vírus e matá-lo?”. Na nossa opinião, você tem toda a razão. Na realidade você não precisa de saber muito sobre o registo para chegar ao vírus. O 3º passo consistiu em você questionar-se aonde encontrar o vírus no registo, pergunta que será respondida no passo seguinte.
4º Como referido atrás, os vírus gravam uma entrada no arranque para que o sistema ao ser reiniciado lembre-se de executá-lo. Pois bem, é numa chave aonde os vírus criam um valor com o seu caminho ou destino no disco duro. Mas quais são essas chaves sagradas?
Essas chaves, que de sagradas não têm nada, serão mencionadas em seguida:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
O que você tem de fazer é ir à cada uma dessas chaves, procurar por valores com nomes suspeitos, como “chickie”, “Ravmon”, ou ainda nomes muito parecidos com os de certos ficheiros do sistema operativo Windows, com o intuito de passarem despercebidos, tal como “Exiplorer”. Muitas vezes o nome do valor pode não ter nada a ver com o nome do ficheiro no disco duro, como exemplo, há programadores de vírus que têm o hábito de pôr como nome do valor do vírus no registo Messenger ou Msn, quando na realidade Messenger é um programa de conversa entre duas pessoas. Contudo é bom você confirmar o nome do valor com o nome do ficheiro no disco duro.
Se você achou um valor do qual você suspeita, confirme se é um vírus ou não, simplesmente procurando na internet pelo nome do ficheiro associado ao valor do qual você suspeita.
Mas não se preocupe, eu vou exemplificar; embora minha máquina não tenha vírus, o que seria quase impossível de exemplificar o acto da remoção do vírus, eu vou executar um dos vírus que eu tenho guardado no meu PC, numa pasta, cuja intenção é de apenas estudá-lo ( não aconselho ninguém a fazer o mesmo, pois o feitiço pode voltar-se contra o feiticeiro ).
Primeiro, ir para a chave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:
“C:\Windows\Inf\”, e vamos até esse directório no disco duro, simplesmente colando o caminho na barra de pesquisa do menu iniciar como mostra figura, e apagámo-lo.
À seguir, retiramos a referência no arranque do vírus desta chave, apagando este valor, e para tal clique com o lado direito do mouse sobre o valor associado ao vírus, seleccione o item apagar e confirme que pretende apagá-lo clicando sim, na caixa de diálogo que aparecer.
Lembre-se sempre que, caso alguma alteração inesperada ou erro aconteça, você pode
sempre recuperar o registo anterior, pois se você se recorda, você fez um backup antes de qualquer alteração. Para repôr as informações do registo para as anteriores, depois de alterado, basta abrir o regedit, clicar no menu Ficheiro, seleccionar o item Import, ir para o directório aonde o backup do registo foi feito, e abrí-lo.
Conclusão
Podemos tirar muitas conclusões sobre a “habilidade de não depender dum antivírus”, não só analisando em termos de conhecimento mas também em termos de desempenho do nosso PC. Atualmente, os melhores antivírus são na nossa óptica muito pesados e acreditem, nós já testamos muitos, e dentre esses muitos estão os melhores, como é o caso do Kaspersky, TrendMicro e BitDefender, fica aqui a referência para aqueles leitores que acharem uma seca essa coisa de “remover manualmente”! Acreditem, às vezes nós próprios achamos uma seca... já não se fazem vírus como antigamente... : Por Não ter instalado um antivírus torna a máquina mais rápida, pois poupa memória RAM, espaço em disco duro e tempo de CPU.
Comentários