Vírus: Explicação, prevenção e recuperação

Este artigo descreve como determinar se o computador está infectado por um vírus, worm ou Cavalo de Tróia, como se recuperar de uma infecção e como impedir futuras infecções por vírus.

Um vírus é um código gravado com a única intenção de auto-replicação. Um vírus tenta se espalhar de computador para computador anexando-se a um programa host. Ele pode danificar o hardware, o software ou os dados. Um worm é uma subclasse de vírus. Ele geralmente se espalha sem a interação do usuário e distribui cópias completas dele mesmo (possivelmente modificadas) por meio de redes. Um worm pode usar toda a memória ou largura de banda de rede, fazendo com que o computador pare de responder. Um vírus que aparenta ser um programa útil, mas na verdade causa danos, é um "cavalo de tróia."

Execute etapas para impedir esses vírus mesmo que você visite sites desconhecidos ou não-confiáveis ou abra anexos de email. Existem três etapas que podem ser executadas para começar a melhorar a segurança do computador com Windows: use um firewall, receba atualizações regulares e use um software antivírus. Para obter instruções detalhadas que irão explicar como fazer isso para o sistema operacional, visite o seguinte site da Microsoft, Protect Your PC: Em um computador com Windows XP, o site Proteja seu PC pode detectar e configurar automaticamente o Firewal de conexão com a Internet (ICF), definir as configurações das Atualizações automáticas e fornecer informações sobre software antivírus. Em um computador com Windows XP Service Pack 2, o Firewall de conexão com a Internet (ICF) é renomeado como "Firewall do Windows (WF)."

Para obter informações adicionais sobre a parte automatizada do site da Microsoft, Proteja seu PC, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft: Para obter suporte grátis com relação a vírus nos Estados Unidos ou Canadá, ligue para (866) PC-SAFETY (727-2338). Se estiver fora dos Estados Unidos ou Canadá, contate a subsidiária local da Microsoft.

Sintomas de vírus, worms e de vírus cavalo de tróia

Se você suspeitar ou confirmar que o computador está infectado por um vírus, obtenha um software antivírus atual. Quando um vírus infecta o email ou outros arquivos, os seguintes efeitos podem acontecer no computador:

• O arquivo infectado pode fazer cópias dele mesmo. Isso pode ocupar todo o espaço livre no disco rígido.
• Uma cópia do arquivo infectado pode ser enviada para todos os endereços do catálogo de endereços de emails.
• O vírus pode reformatar o disco rígido e excluir arquivos e programas.
• O vírus pode instalar programas ocultos, como softwares piratas. Esse software pirateado pode ser distribuído e vendido pelo computador.
• O vírus pode reduzir a segurança. Isso poderia permitir que invasores tivessem acesso remoto ao computador ou à rede.

Os seguintes sintomas são geralmente causados por um vírus ou estão associados a ele.

• Uma mensagem de email com um anexo estranho é exibida. Ao abrir o arquivo anexo, caixas de diálogo são exibidas ou acontece uma diminuição repentina no desempenho do sistema.
• Existe uma extensão dupla em um anexo que você abriu recentemente, como .jpg.vbs or .gif.exe.
• Um programa antivírus está desativado sem motivo e não é possível reiniciá-lo.
• É impossível instalar ou executar um programa antivírus no computador.
• Caixas de diálogo estranhas ou de mensagens são exibidas na tela.
• Alguém informa que recebeu recentemente mensagens de email de você, contendo arquivos anexos (principalmente com extensões .exe, .bat, .scr e .vbs), que você não enviou.
• Novos ícones que você não colocou ou não estão associados a nenhum programa instalado recentemente aparecem na Área de trabalho.
• Sons ou músicas estranhas são reproduzidos nos auto-falantes automaticamente.
• Um programa desaparace do computador, mas você não o removeu intencionalmente.

Uma infecção por vírus também pode causar os seguintes sintomas, mas esses também podem ser resultantes de funções comuns do Windows ou de problemas do Windows que não são causados por vírus.

• O Windows não inicia de maneira alguma, mesmo que você não tenha feito nenhuma alteração no sistema ou não tenha instalado ou removido nenhum programa.
• Existe muita atividade no modem. Se tiver um modem externo, é possível observar as luzes piscando continuamente quando o mesmo não estiver em uso. Talvez você esteja fornecendo software pirata e não saiba.
• O Windows inicia porque estão faltando alguns arquivos importantes e uma mensagem de erro que lista esses arquivos é exibida.
• Ás vezes o computador inicia de maneira esperada, mas em outras ocasiões ele pára de responder antes que os ícones da Área de trabalho e a barra de ferramentas sejam exibidos.
• O computador fica muito lento e demora muito tempo para iniciar.
• Uma mensagem de memória insuficiente é exibida, mesmo que o computador tenha RAM suficiente.
• Novos programas não são instalados corretamente.
• O Windows é reiniciado espontaneamente e de maneira inesperada.
• Programas que antes eram executados normalmente param de responder com freqüência. Se você tentar remover e reinstalar o software, o problema continuará acontecendo.
• Um utilitário de disco, como o Scandisk, informa diversos erros graves no disco.
• Uma partição desaparece.
• O computador sempre pára de responder ao tentar usar os produtos do Microsoft Office.
• Não é possível iniciar o Gerenciador de tarefas do Windows.
• Um software antivírus indica que existe um vírus.

Recuperando-se de e impedindo uma infecção por vírus

Para impedir uma infecção por vírus ou para recuperar-se de um vírus, execute estas etapas:

1. Use um Firewall de Internet
   Um firewall é um software ou um hardware que cria uma barreira protetora entre o computador e o conteúdo proveniente da Internet que possa causar danos. Ele ajuda a manter o computador protegido contra usuários mal-intencionados e diversos vírus e worms.
   
   Use um firewall apenas para conexões de rede usadas para conexão direta com a Internet. Por exemplo, use um firewall em um único computador que esteja conectado diretamente à Internet usando um modem a cabo, DSL ou dial-up. Se usar a mesma conexão de rede para conectar-se à Internet e à uma rede doméstica ou empresarial, use um roteador ou firewall que impeça os computadores de conectarem-se aos recursos compartilhados nos computadores domésticos ou da empresa na Internet. Não use um firewall ou conexões de rede que usados para conectar-se à rede doméstica ou empresarial a menos que o firewall possa ser configurado para abrir portas apenas para a rede doméstica ou empresarial. Se você conectar-se à Internet usando a rede doméstica ou empresarial, é possível usar um firewall apenas no computador ou em outro dispositivo, como um roteador, que fornece a conexão com a Internet. Por exemplo, ao conectar-se à Internet por uma rede gerenciada por você e essa rede usar compartilhamento de conexão para fornecer acesso à Internet para diversos computadores, é possível instalar ou ativar um firewall apenas na conexão compartilhada com a Internet. Se conectar-se à Internet por meio de uma rede que você não gerencia, verifique se o administrador de rede usa um firewall.
   
   Observação Se você usar um firewall em todos os computadores na rede doméstica ou empresarial, talvez não seja possível procurar por outros computadores na rede doméstica ou empresarial e compartilhar arquivos com outros computadores na rede doméstica ou empresarial. Para obter informações adicionais sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
   298804  (http://support.microsoft.com/kb/298804/ ) Os firewalls da Internet podem evitar a navegação e o compartilhamento de arquivos

   Windows XP; Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition

   Se você executar o Windows Server 2003, Standard Edition; o Windows Server 2003, Enterprise Edition; ou qualquer outra versão do Windows XP, será possível usar o recurso ICF.
   283673  (http://support.microsoft.com/kb/283673/ ) Como ativar ou desativar o Firewall de conexão com a Internet no Windows XP
   Para obter informações adicionais sobre o ICF, visite os seguintes sites da Microsoft (sites em inglês):
   http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx (http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/hnw_enable_firewall.mspx)
   http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/icf.mspx (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/icf.mspx)

   Outras versões do Windows

   Para obter outras versões do Windows, use um Firewall básico (para servidores do Windows Server 2003 que executam o roteamento e acesso remoto), o Microsoft Internet Security and Acceleration (ISA) Server 2000 (para Windows 2000 ou Windows Server 2003), ou um hardware de outra empresa ou firewall de software. Para obter informações adicionais sobre firewalls de outras empresas, visite o seguinte site da Microsoft (site em inglês):
   http://www.microsoft.com/security/articles/firewall.asp (http://www.microsoft.com/security/articles/firewall.asp)
2. Atualize o computador.
   As atualizações de segurança ajudam a proteger o computador contra vulnerabilidades, vírus, worms e outras ameaças à medida que são descobertas. As etapas que podem ser executadas incluem:
   1. Instalar as atualizações de segurança para Windows e os componentes do Windows (como Internet Explorer, Outlook Express e Windows Media Player). Para fazer isso, visite o seguinte site da Microsoft:
      Windows Update
      http://windowsupdate.microsoft.com (http://windowsupdate.microsoft.com)
      Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      311047  (http://support.microsoft.com/kb/311047/ ) Como manter seu computador atualizado
      Observação O ciclo de vida de suporte aos produtos Microsoft Windows NT Workstation, Windows 98, Windows 98 Second Edition e Windows 95 chegou ao fim. As atualizações fornecidas para esses sistemas operacionais estão disponíveis em uma base de arquivos no site do Windows Update. No entanto, a Microsoft não oferece suporte técnico para essas versões. Por isso, é aconselhável atualizar para Windows XP Professional ou Windows XP Home Edition de modo que você possa aproveitar as vantagens das atualizações automáticas e outros recursos de segurança que foram introduzidos desde que esses sistemas operacionais anteriores foram lançados.
   2. Para instalar as atualizações de segurança para os produtos do Microsoft Office, visite o seguinte site do Office Update da Microsoft:
      http://office.microsoft.com/pt-br/officeupdate/default.aspx (http://office.microsoft.com/officeupdate/default.aspx)
   3. Para instalar as atualizações de segurança para outros programas, contate o fabricante do programa para obter informações adicionais. Para localizar as atualizações de segurança para outros produtos da Microsoft, visite o seguinte site da Microsoft (site em inglês):
      http://www.microsoft.com/technet/security/current.aspx (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp)
      Por exemplo, é possível localizar as atualizações de segurança para os Serviços de informações da Internet da Microsoft (IIS), SQL Server ou Exchange Server nesse site.
      
      Observação Os administradores de rede podem usar a ferramenta MBSA (Microsoft Baseline Security Analyzer) para examinar os computadores com Windows em busca de configurações de segurança incorretas e gerar relatórios individuais de segurança para cada computador que examinam. A MBSA é executada em computadores com Windows Server 2003, Windows 2000 e Windows XP. A MBSA pode examinar em busca de vulnerabilidades de segurança em computadores que executem o Windows NT 4.0, o Windows 2000, o Windows XP e o Windows Server 2003. Também examina configurações de segurança incorretas no Windows, no IIS (Serviços de informações da Internet), no SQL Server, no Internet Explorer e no Microsoft Office. Ela também procura atualizações de segurança ausentes no Windows, no IIS, no SQL Server, no Internet Explorer, no Windows Media Player, no Exchange Server e no Exchange 2000 Server.
      
      Para obter informações adicionais sobre MBSA, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      320454  (http://support.microsoft.com/kb/320454/ ) A Ferramenta MBSA (Microsoft Baseline Security Analyzer) versão 1.1.1 está disponível
   4. Se estiver executando o Microsoft Outlook anterior à versão 2002, verifique se a Atualização de segurança de email do Microsoft Outlook está instalada:
      • Por padrão, o Outlook 2000 posterior ao SP2 e o Outlook 2002 SP1 incluem essa atualização de segurança.
      • O Outlook 2000 anterior ao SR1 e o Outlook 98 não têm essa funcionalidade, mas é possível obtê-la instalando a Atualização de segurança de email do Outlook. Para obter mais informações sobre a Atualização de segurança de email do Outlook, acesse o seguinte site da Microsoft (site em inglês):
        http://www.microsoft.com/downloads/details.aspx?displaylang=pt-br&FamilyID=5C011C70-47D0-4306-9FA4-8E92D36332FE (http://www.microsoft.com/downloads/details.aspx?FamilyID=96DF48A9-7638-429E-816E-35F16F6528CA&displaylang=EN)
   5. Se estiver executando o Outlook Express, tenha cuidado ao abrir anexos de emails.
      • Por padrão, o Outlook Express 6 SP1 bloqueia o acesso aos anexos.
      • Versões anteriores do Outlook Express (anteriores ao Outlook Express 6) não têm a funcionalidade de bloquear anexos. Tenha bastante cuidado ao abrir mensagens de email não-solicitadas com anexos.
   6. Desative o Script ativo no Outlook e no Outlook Express.
      
      Observação Por padrão, o Script ativo está desativado no Outlook Express 6 e no Outlook 2002 e posterior. Para obter informações adicionais sobre como desativar o script ativo no Outlook Express, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      192846  (http://support.microsoft.com/kb/192846/ ) Como desativar script ativo no Outlook Express
      Para obter informações adicionais sobre como desativar o script ativo no Outlook 2000, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      215774  (http://support.microsoft.com/kb/215774/ ) Scripts inseridos em mensagens HTML executam sem aviso prévio
      Para obter informações adicionais sobre os recursos de proteção contra vírus no Outlook Express, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
      291387  (http://support.microsoft.com/kb/291387/ ) Usando os recursos de proteção contra vírus no Outlook Express 6
3. Use o software antivírus atual.
   A Microsoft não fornece softwares que possam detectar ou remover vírus. Se suspeitar ou confirmar que o computador está infectado por um vírus, obtenha um software antivírus atual. Para obter informações adicionais sobre fornecedores de software antivírus, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
   49500  (http://support.microsoft.com/kb/49500/ ) Lista de fornecedores de software antivírus
   O Software antivírus ajuda a proteger o computador contra a maioria dos vírus, worms, cavalos de tróia e outros programas mal-intencionados. Muitos computadores já vêm com um software antivírus instalado. Também é possível adquirir um software antivírus e instalá-lo. Também é necessário que o software antivírus seja constantemente atualizado.
   
   Observações
   • Se você não tiver um programa antivírus instalado, a Trend Micro, Inc. oferece um serviço gratuito de exame de vírus online no seguinte site da empresa:
     http://www.trendmicro.com/br/products/desktop/housecall/evaluate/overview.htm (http://housecall.trendmicro.com/housecall/start_corp.as)
   • Se o programa antivírus parou de funcionar, reinstale-o.
   • Obtenha o arquivo de assinatura de vírus mais recente pelo site do fornecedor do seu antivírus. Para cada vírus novo, os fornecedores de programas antivírus emitem atualizações que funcionam como vacinas contra novos vírus.
   • Após a remoção de um vírus, examine o computador novamente para certificar-se de que o vírus foi removido. Agende o programa antivírus para verificar o sistema enquanto você dorme.
   • Talvez seja necessário formatar o disco rígido e reinstalar o Windows e todos os outros programas se uma ou mais das seguintes condições forem verdadeiras:
     • O software antivírus exibe uma mensagem de que ele não pode reparar ou remover o vírus.
     • O vírus danificou ou excluiu alguns dos arquivos mais importantes do computador. Esse pode ser o caso se o Windows ou alguns programas não iniciarem, ou se forem iniciados com mensagens de erro indicando que existem arquivos danificados ou ausentes.
     • Os sintomas descritos neste artigo persistem mesmo após você ter limpado a estação de trabalho e estar certo de que os problemas foram causados por um vírus.