1986 – 1987 O alvorecer de uma nova ameaça
este é solicitado, consideram-no como o primeiro vírus furtivo (“stealth”). O Brain se tornou uma família e têm várias versões. A versão “Ashar” é a menos sofisticada e contêm um texto que indica o Paquistão como território de origem, além de possui também um “copyright” datado de 1986 e uma aparente “versão” de número 9.0. Nas versões mais comuns do Brain, é possível encontrar o texto,
não encriptado, fornecendo o nome, endereço e telefone da “Brain Computer Services” no Paquistão. De fato, é provável que sua origem seja do ano de 1986 e seus que seus autores sejam paquistaneses (existem referências que citam “Basit e Amjad”). O outono de 1987 trouxe o nome da Universidade de Lehigh para o universo das pesquisas de vírus de computador. O vírus, escrito por Ken Van Wyk, ficou conhecido como Lehigh, mas não obteve grande sucesso na disseminação, se limitando ao campus da universidade. O Lehigh contamina a COMMAND.COM e é residente em memória. Acessos a outro disco, através de comandos do DOS como TYPE, COPY, DIR, por exemplo, contaminam o arquivo COMMAND.COM (e apenas ele). Após quatro replicações, o vírus sobregrava as áreas de boot e FAT do disco. Como o vírus se auto-destrói após quatro replicações o seu campo de disseminação é limitado, o que explica seu fracasso - uma das regras dos vírus bem sucedidos é não danificar rapidamente o
seu hospedeiro, garantindo a sobrevivência e disseminação. Além disso, infectar apenas o arquivo COMMAND.COM torna o Lehigh pouco infeccioso.Porém, como Lehigh adquiriu muita publicidade, Ken Van Wyk produziu o “Vírus-L newsgroup” em Usenet. Outro personagem notório na área de vírus dessa época é o programador Ralf Burger. Em 1986 ele produziu uma demonstração chamada de VIRDEM que se agregava à arquivos .COM e criava cópias dele mesmo agregadas a outros arquivos .COM. Divulgou suas pesquisas durante uma conferência da “Caos Computer Club” e posteriormente escreveu um livro sobre o assunto. Mas como não cita vírus de boot, provavelmente desconhecia o Brain e vírus da categoria.
O livro de Burger forneceu ao público os códigos de um vírus descoberto no ano de 1987, em Viena, disseminado através de em um programa denominado Charlie (de onde vem uma de suas denominações, mas esse vírus passou a ser mais conhecido como Vienna). Burger obteve uma cópia desse vírus e a forneceu a Berdt Fix, que a desmontou (“debugou”). Provavelmente era a primeira vez em que alguém desmontava um vírus. O payload normal do Vienna é fazer com que um arquivo em oito executados provoque a reinicialização do computador. No código fornecidos no livro, Burger substituiu a parte referente ao payload por espaços. O vírus montado a partir desse código alterado não reinicializa repentinamente o computador, mas provoca o seu travamento, o que não chega a ser realmente uma melhoria. Além disso, a publicação e acesso irrestrito à códigos do Vienna permitiram que variantes e versões de vírus baseados em tais códigos surgissem abundantemente nos períodos seguintes. Ainda nesse período, na Universidade de Wellington, Nova Zelândia, um estudante descobriu um modo muito simples para criar um vírus bastante eficaz. Seu vírus exibe a mensagem “Your PC is now Stoned” uma vez a cada oito, durante o boot através de um disquete infectado. Devido à sua forma de se autorestringir e capacidade de replicação a partir de sua residência em memória, o Stoned chegou a se tornar o tipo de vírus mais difundido no mundo - estima-se em mais de um quarto dos surtos, até o advento dos vírus de macro. Em Tel Aviv, Israel (outros afirmam Itália), um programador fez uma série de experiências. O primeiro vírus dele chamou-se Suriv-01 (vírus soletrado para trás), um vírus residente em memória, mas que infecta qualquer arquivo com extensão COM,ao contrário do Lehigh, que infecta apenas o arquivo COMMAND.COM. O segundo vírus dele foi chamado Suriv-02, que infecta apenas arquivos de extensão EXE (os arquivos COM possuem uma estrutura mais simples e são mais
simples de infectar, os arquivos EXE são consideravelmente longos e possuem códigos mais complexos). O Suriv-02 foi o primeiro vírus conhecido a infectar arquivos EXE no mundo. A terceira experiência dele foi chamada Suriv-03, capaz de atingir tanto arquivos COM como arquivos EXE. O Suriv-03 foi desenvolvido como uma união das duas versões anteriores - é, basicamente, as duas primeiras versões trabalhando juntas. Acredita-se que a quarta experiência desse programador seja o Jerusalém, o vírus de arquivo executável mais bem sucedido da história. Toda sexta-feira 13, ao invés de infectar arquivos quando são executados, ele os apaga. Mas como sextas-feiras 13 não são comuns, o vírus permanece imperceptível na maior parte do tempo. Por causa da publicidade que ocorreu em torno do Lehigh, o Jerusalém evita infectar a COMMAND.COM. Imagina-se que o Jerusalém tenha “vazado” para o mundo, pois existem indícios na versão mais antiga de que não estava pronto para “lançamento” - aparentemente existe uma alteração incompleta a fim de consertar um bug que leva a reinfecção dos arquivos .EXE continuamente a cada execução. Além disso, existem códigos redundantes originários do Suriv que podem ser vistos desmontando-se (debugando-se) o vírus. Ele foi descoberto na Universidade Hebraica de Jerusalém (daí o se nome mais famoso) por Yisrael Radai no início de 1988 e deu origem a uma das mais extensas famílias de variantes. Uma das primeiras infecções do Jerusalém foi encontrada em um escritório pertencente as Forças Armadas de Israel e por isso um dos alias (nome alternativo) do vírus é I.D.F. (Israeli Defence Forces). Como havia uma forte desconfiança de que ele já estava em circulação em 1987, perguntava-se porque o seu payload não fora detonado na sexta feira 13 de Novembro de 1987. Curiosamente o vírus é programado para excluir o payload no ano de 1987. A próxima data de payload era a sexta feira de 13 de maio de 1988, criando a sensação de que era um terrorismo político, pois o último dia em que a Palestina existira como nação fora 13 de Maio de 1948. Contudo, estudos posteriores da estrutura interna do vírus e a sua ligação com os Suriv levaram à conclusão de que qualquer correspondência política era mera coincidência. Na Itália, na Universidade de Turim, um programador produziu outro vírus de boot. Caso o disco fosse acessado exatamente no período de meia hora em um computador contaminado, uma bola saltando apareceria no monitor. Ficou conhecido como Italian, Ping Pong ou Bouncing Ball. Contudo, este vírus tinha um grande defeito - não podia atuar em computadores que não fossem baseados na arquitetura 8088 ou 8086, pois utiliza instruções que não rodam em chips mais avançados (80286, 80386, 80486). Assim, a versão original deste vírus praticamente desapareceu (como ocorreu com o Brain, que infectava apenas disquetes de 360 Kb e que anunciava totalmente sua presença pelo label). Ainda em 1987, um programador alemão produziu um vírus muito eficaz, o Cascade, assim chamado por causa do efeito de letras caindo no monitor. O Cascade utilizou uma idéia nova - a maior parte do vírus foi encriptado, deixando que apenas uma pequena parte de seu código fique aparente e decifre o resto do vírus. A razão para isto não estava clara, mas fez isto certamente para criar maior dificuldade no reparo de arquivos infectados, além de restringir a escolha de strings de detecção ao primeiro par de uma dúzia de bytes. Esta idéia posteriormente foi estendida por Mark Washburn quando ele produziu o primeiro vírus polimórfico, o 1260 (Chameleon). Washburn fez o Chamaleon baseado em um vírus que ele achou em um livro - o Vienna, publicado por Burger.
Meus comentários
Sou admirador do Fred Cohen. Vejo nele a profunda capacidade de observação do sistema Operacional - O SO tem "vida".
Não estamos apenas tratando de criatividade sem limites ou loucura, mas de testes do limite do Sistema Operacional.
Tenho como outro bom exemplo, um "vazio" existente nos 512 Bytes do setor de Boot do sistema MSXDOS que foi inteligentemente utilizado pela equipe de uma revista Micro Sistemas para expor a real problemática do vírus.
Quem, em sã consciência fica o dia inteiro procurando brechas em sistemas operacionais?
Eu pensava assim até aparecerem os vírus de Macro - Alguém, louco o bastante atentou para os comandos de Macro do Office.Assim, se elas existem, com certeza alguém as encontrará. Por bem ou não.
Não podemos deixar de observar o bom humor desses criadores de vírus. Eles tratam do problema software como um cirurgião trata de um implante. Sem frieza como parece, mas com uma familiaridade surpreendente.
Boa Leitura
