Tudo o que voce queria saber sobre virus de macro..

http://www1.webng.com/curupira/index.html Email derneval@gmail.com Índice barata17.html


Tudo o que voce sempre quis saber sobre 
VIRUS DE MACRO(Word/Excel)

Quem e' que nunca ficou tentando salvar um documento no Word e ele
nao aceitava a extensao .DOC, mas so .DOT? Ou quem nunca ficou vendo
mensagenzinhas rolando na barra de status (rodape') do Word, achando
aquilo muito engracadinho?

Voce podia ate' nao saber, mas estava diante da categoria de virus
mais comum que existe hoje em dia: os virus de macro. NPAD, MDMA,
DMV, CAP, Indonesia, WordPrank, Concept, Nuclear... Em geral, pouco
mal trazem. Nao danificam arquivos nem provocam perda de dados, mas
causam uma serie de aborrecimentos que atrapalham todo o seu
trabalho. E tao grande quanto a sua difusao e a falta de informacao a
respeito deles.

Se voce chegou a ler este texto ate aqui, nao pare. Leia-o ate o
fim. Se preferir, imprima-o e leia depois com mais calma. E procure
principalmente divulgar o que aprender. A informacao e a vacina que
pode nos ajudar a livrar a Internet destes virus, tao simples mas tao
comuns.

------------------------------

O QUE E UM VIRUS?

Virus e' um programinha, com uma serie de instrucoes "maldosas" para
o seu computador executar. Em geral, ficam escondidos dentro da serie
de comandos de um programa maior. Mas eles nao surgem do nada. Sao
feitos por gente desocupada, que nao tem nada o que fazer e fica
criando bobagens para encher o saco dos incautos. E o pior e' que, em
geral, eles atingem seu objetivo.

Os virus se ocultam em arquivos executaveis, ou seja: de programas,
sempre de extensao .EXE ou .COM, ou de bibliotecas compartilhadas, de
extensao .DLL.

Quanto a arquivos de dados, voce pode abri-los sem medo! Assim, pode
rodar tranquilamente seus arquivos de som (.WAV, .MID), imagem (.BMP,
.PCX, .GIF, .JPG), video (.AVI, .MOV) e os de texto que nao contenham
macros (.TXT, .WRI).

Para que o virus faca alguma coisa, nao basta voce te-lo em seu
computador. Para que ele seja ativado, passando a infectar o micro,
e' preciso executar o programa que o contem. E isto voce so' faz se
quiser, mesmo que nao seja de proposito. Ou seja: o virus so e
ativado se voce der a ordem para que o programa seja aberto, por
ignorar o que ele traz de mal pra voce... Se eles nao forem
"abertos", ou seja, "executados", o virus simplesmente fica inativo,
alojado, aguardando ser executado para infectar o computador.

Apos infectar o computador, eles passam a atacar outros arquivos. Se
um destes arquivos infectados for transferido para outro computador,
este tambem vai passar a ter um virus alojado, esperando o momento
para infecta-lo, ou seja: quando for tambem executado. Dai o nome de
virus, pela sua capacidade de auto-replicacao, parecida com a de um
ser vivo.

------------------------------

VIRUS DE MACRO

Recentemente, vem se espalhando uma nova especie de virus, que hoje
ja' corresponde a mais de 50% do total de infeccoes. Sao os famosos
"virus de macro".

Eu recebi ontem mesmo um arquivo do Word contaminado com um "virus
de macro". E quem o enviou foi um amigo de Internet. Tenho certeza de
ele nao mandou o arquivo com maus propositos -- pelo contrario, e uma
vitima destes virus tanto quanto eu. Pra mim ja e uma rotina. De cada
dez arquivos de Word que recebo, um esta contaminado. Alias, e bem
provavel que seu computador ja tenha um virus de macro agora. So que
voce ainda nao percebeu, ou o deixou ficar quieto.

Mas afinal de contas, o que e macro? Macro e uma serie de rotinas
personalizadas para serem feitas automaticamente no Word, ou no
Excel, ou qualquer outro programa que suporte VBA (Visual Basic for
Applications), a linguagem usada nas macros. Os virus de macro mais
comuns sao os do Word, por ser o programa mais difundido.

Voce pode criar uma macro pra acrescentar um cabecalho
automaticamente assim que voce clica num botao da barra de
ferramentas, ou para abrir o Painel de Controle apenas com uma
combinacao de teclas, ou ainda para retirar todas as cedilhas,
acentos etc. de um texto. A macro e quase um programa, interno a
outro programa.

O virus de macro e um virus feito na linguagem das macros, para
funcionar dentro do programa ao qual esta ligado. Ao abrir um
documento de Word (.DOC) infectado com um virus de macro, o virus e
ativado, gravando sobre o arquivo NORMAL.DOT (modelo geral dos
arquivos do Word) e criando macros que substituem boa parte dos
comandos normais do Word.

A partir dai, quando voce estiver usando o Word, voce vai comecar a
verificar sintomas os mais diversos, dependendo do virus que voce
tem. Se voce verificar algum dos abaixo relacionados, provavelmente
seu computador ja esta infectado:

- quando voce tenta salvar um arquivo, ele salva com a extensao .DOT
em vez de .DOC;

- todos os arquivos do Word sao salvos assim que voce o fecha, como
Doc1.doc, ou Doc2.doc, e assim por diante, sem sequer perguntar se
quer salva-lo ou nao;

- uma mensagenzinha fica correndo pelo rodape da janela do Word;

- palavras ficam aparecendo sem voce digita-las e imediatamente se
apagam;

- a impressora trava sem explicacao;

- o computador fica "trabalhando" (ampulheta) sem que voce peca para
fazer nada;

- retira dos menus todas as mencoes a macro, de forma que voce fica
impedido de manipular as macros para retirar o virus;

- todas as macros personalizadas que voce tenha criado antes sao
perdidas (esta e a pior sequela).

Uma vez infectado o arquivo NORMAL.DOT, todos os outros arquivos
que forem abertos no Word a partir de entao serao infectados. Se voce
enviar um arquivo infectado para alguem, por disquete ou e-mail, ele
pode infectar o computador do destinatario, se ele o receber e o
abrir no Word, e o ciclo recomeca.

Os virus de macro nao estao escondidos na forma de um arquivo
executavel (.EXE, .COM, .DLL), mas em um inocente documento do Word
(.DOC) ou numa planilha do Excel (.XLS). Trata-se de uma verdadeira
revolucao dos virus. E ai esta a causa da facilidade com que eles se
propagam.

As macros se transformaram em verdadeiras armas postas à disposicao
de quem quer fazer um virus. Ninguem imagina que um texto que a
namorada escreveu ou uma planilha que um colega de trabalho mandou
possa estar infectado. E a pessoa que lhe enviou o arquivo com o
virus pode nem saber (e geralmente nao sabe) da infeccao...

Ainda assim, e bom frisar: mesmo os virus de macro so infectam seu
micro se voce abrir o arquivo que o contem. Nao basta receber o
arquivo infectado, seja por que meio for: e necessario abri-lo para
que o virus seja ativado.

------------------------------

COMO EVITAR OS VIRUS DE MACRO

O que podemos fazer para evitar virus de macro? Uma das opcoes e'
infalivel! Marcar o arquivo NORMAL.DOT como "somente leitura"
("read-only") e, de todas, a melhor opcao, e tambem a mais radical.

Como fazer isto? Em primeiro lugar, localize este arquivo.
Geralmente, ele fica no diretorio (ou pasta) onde esta o Word.

No Windows 95, basta clicar com o botao direito do mouse sobre o nome
do arquivo, selecionar "Propriedades" e marcar o quadradinho com o
nome "somente leitura".

No Windows 3.x, o procedimento e semelhante: abre-se o Gerenciador de
Arquivos, localiza-se o NORMAL.DOT, clica-se sobre ele uma vez so
com o mouse, e, no menu Arquivo | Propriedades..., marca-se o
"somente leitura".

E' tao facil assim evitar virus de macro? Em principio, sim. O
arquivo NORMAL.DOT e' o modelo global em que se baseiam todos os
documentos que feitos no Word, e e' o primeiro a ser infectado assim
que o virus se aloja. Se ele nao puder ser sobregravado, o arquivo
com o virus pode ate' ser aberto, mas nao vai conseguir modificar o
NORMAL.DOT, que esta protegido contra gravacao.

E se eu precisar mesmo alterar o NORMAL.DOT? Bem, este arquivo so
precisa ser modificado muito raramente, quando voce faz uma alteracao
em um parametro no modelo geral do Word -- por exemplo: escolhe uma
nova fonte padrao, ou uma margem maior, ou um estilo de documento, ou
um novo botao na barra de ferramentas, valido para todos os
documentos do Word. Pouca gente faz isto com frequencia. Se voce, por
acaso, precisar fazer uma destas alteracoes, basta desmarcar o
"somente leitura", fazer a alteracao e depois voltar a marca-lo.

Eu utilizo o VirusScan, que pode ser obtido gratuitamente na pagina
da McAfee -- alias, recomendo a todos que facam isto agora (nao deixe
para depois...). Vamos todos na pagina da McAfee
(http://www.mcafee.com) retirar a versao mais nova do anti-virus. O
arquivo mede cerca de 4 MB. Pode demorar ate uns 15 minutos,
dependendo de sua conexao, mas e um tempo muito bem investido. Se
voce for surpreendido por um virus mais tarde, voce vai ver que o
tempo (e o gasto de paciencia) para elimina-lo sera bem maior.

De 45 em 45 dias, retorne la para retirar a versao mais nova dos
arquivos DAT do anti-virus. Frise-se bem: depois que voce ja tem o
programa VirusScan, nao e mais necessario tirar todo o anti-virus de
novo quando sua versao ficar desatualizada. Basta retirar uns poucos
arquivos terminados com a extensao .DAT, que sao os que guardam
informacoes sobre os virus., que juntos, tem apenas 1 MB. Voce pode
obter a ultima versao destes arquivos .DAT diretamente no endereco:
http://www.mcafee.com/down/dldat.html

O processo para instalar os novos arquivos .DAT e um pouco mais
chato, por ser manual. Depois de retirar e descompactar os arquivos
.DAT, localize onde estao os seus atuais arquivos .DAT (ja
desatualizados) do VirusScan (em geral, estao em: c:\Arquivos de
Programas\McAfee\VirusScan\). Basta arrastar os novos arquivos .DAT
para esta pasta, confirmar a substituicao e pronto. Voce esta de novo
com as vacinas em dia.

Informacoes da McAfee sobre virus de macro:
http://www.mcafee.com/support/techdocs/vinfo/t0016.html

Outra opcao para prevenir virus de macro: va' na pagina da
Microsoft. La' existe uma ferramenta, chamada ScanProt, na verdade um
modelo (.DOT) com um conjunto de macros para protecao do Word. Voce o
abre no Word e a instalacao e automatica. O arquivo inclui um manual,
todo EM PORTUGUES, em formato Word, explicando tudo.

Este ferramenta vai avisa-lo sempre que um arquivo .DOC contendo uma
macro esta sendo aberto, mesmo que nao contenha virus. E permite que
voce opte por abrir o arquivo sem executar as macros.

        O endereco e':
http://www.microsoft.com/word/freestuff/mvtool/virusinfo.htm

O Word versao 95a ou o Word 97 ja trazem esta ferramenta embutida.
Mas ha' uma atualizacao dela em
http://www.microsoft.com/office/antivirus/word/wordprot.htm

        Para informacoes sobre virus de macro no Excel, va em
http://www.microsoft.com/excel/productinfo/vbavirus/emvolc.htm

------------------------------

Na primeira vez em que eu fui atacado por um virus de macro, eu
estava com o anti-virus instalado e funcionando. Mas, por um descuido
meu, a versao dos arquivos .DAT era de fevereiro. E ja corria o mes
de abril. Fui negligente achando que uns poucos meses de atraso nao
iam fazer diferenca. Fizeram, e muito! O virus que peguei
simplesmente nao foi detectado pelo anti-virus atrasado que tinha.
Dai, alerto: nao adianta nada ter um anti-virus se voce nao o
atualiza todo mes.

Depois da casa arrombada, passei o VirusScan ultima versao da epoca,
e ele detectou, de pronto, o virus CAP. Limpou, direitinho e com a
maior facilidade do mundo, os arquivos infectados.

Por uma coincidencia incrivel, naquela mesma semana eu estava
comentando sobre virus de macro com colegas. Um deles me disse que,
na reparticao onde ele trabalha, ha um virus de macro ha 5 meses, e
nunca ninguem cuidou de elimina-lo, apesar de todos os incomodos que
ele causa.

Assim que fui infectado, fui procurar ajuda no meu BBS. Um amigo me
disse, com ar de certo "desdem"... :-): Todo mundo tem este virus!

E verdade. Parece ate uma gripe. Todo mundo tem, e parece ate
inevitavel te-lo. Mas poderiamos fazer mais para evita-lo. Ou para
elimina-lo, depois de feito o estrago.

------------------------------

COMO ELIMINAR OS VIRUS DE MACRO

Quem tem um virus de macro so' nao o elimina se nao quiser. Os
anti-virus estao ai para detecta-los e elimina-los com facilidade. E
possivel encontrar um virus de macro mais dificil de ser removido,
mas sao casos excepcionais.

Para remover virus de macro, experimente um destes anti-virus:

McAfee Virus Scan: http://www.mcafee.com
F-Macrow: http://www.europe.datafellows.com
Dr. Solomon's Anti-Virus Toolkit: http://www.drsolomon.com
Norton Anti-Virus: http://www.symantec.com/avcenter/hotv.html
PC-Cillin 95: http://www.trendmicro.com.br
Thunderbyte Anti-Virus: http://www.thunderbyte.com
VirusSafe 95: http://www.eliashim.com/index.html
InterScan VirusWall: http://www.com.tw
F-Prot: http://www.commandcom.com
HouseCall: http://www.antivirus.com

------------------------------

COMO ELIMINAR SEQUELAS DOS VIRUS

Pode ser que, mesmo depois de eliminado o virus de macro, ainda
restem algumas sequelas no seu Word: menus faltando, botoes a menos,
travamentos, combinacoes de teclas desativadas.

Primeiro, tente seguir as dicas que voce encontra nesta pagina, no
site da McAfee: http://www.mcafee.com/t0118.html. La, voce pode
retirar o programa DocFix, especifico para resolver estes problemas.

Se nao der certo, ha uma solucao radical, mas eficiente, a ser
tentada em ultimo caso. Delete o arquivo NORMAL.DOT. Automaticamente,
o Word criara outro NORMAL.DOT, com as configuracoes-padrao do
programa. A desvantagem e que voce perdera as suas configuracoes
personalizadas: se voce tinha alguma configuracao personalizada
(Autotexto, Macros, barras de Ferramentas personalizadas), elas serao
perdidas. Mas pelo menos, voce tem a certeza de que as sequelas
sumirao.

Agora, de nada adianta tudo isto se voce ainda tiver algum documento
do Word infectado no seu computador, que pode infectar o NORMAL.DOT
novamente a qualquer momento. Passe o anti-virus antes de fazer o
descrito acima.

Depois de terminar o reparo, nao esqueca de colocar o novo
NORMAL.DOT como somente-leitura.

------------------------------

MAIS INFORMACOES SOBRE VIRUS DE MACRO voce pode obter nas paginas:
http://www.microsoft.com/office/antivirus/
http://www.microsoft.com/MSWordSupport/content/usage/MacroVirus/
http://www.mcafee.com/t0016.html
http://www.datafellows.com/macro/word.htm
http://www.bis.com.br/~lafanet

------------------------------

Peco a todos os que chegaram ate o fim deste texto que se juntem a
esta ideia. Alias, esta ideia nada deve ter de original!

Nao tenho dados, mas estimo que 99% dos usuarios de Internet nao
usam anti-virus, ou tem anti-virus atrasados. E que 90% dos usuarios
de Word tem um virus de macro, mas nunca perceberam, ou, se
perceberam, deixam o bichinho la' quieto, apesar do incomodo que eles
causam.

----------------------------------------------------------------------

PAULO GUSTAVO SAMPAIO ANDRADE
Estudante de Direito na UFPI
Editor da pagina juridica "Jus Navigandi"
(http://www.geocities.com/Paris/1997)
Teresina - Piaui - Brazil
E-mail: jus@mail.org

ro, mas nunca perceberam, ou, se perceberam, deixam o bichinho la' quieto, apesar do incomodo que eles causam. ---------------------------------------------------------------------- PAULO GUSTAVO SAMPAIO ANDRADE Estudante de Direito na UFPI Editor da pagina juridica "Jus Navigandi" (http://www.geocities.com/Paris/1997) Teresina - Piaui - Brazil E-mail: jus@mail.org