Tudo o que voce sempre quis saber sobre VIRUS DE MACRO(Word/Excel)

Homepage Blog do Fanzine Índice No 17 Índice Números Anteriores drrcunha@yahoo.com.br

Quem e' que nunca ficou tentando salvar um documento no Word e ele nao aceitava a extensao .DOC, mas so .DOT? Ou quem nunca ficou vendo mensagenzinhas rolando na barra de status (rodape') do Word, achando aquilo muito engracadinho? Voce podia ate' nao saber, mas estava diante da categoria de virus mais comum que existe hoje em dia: os virus de macro. NPAD, MDMA, DMV, CAP, Indonesia, WordPrank, Concept, Nuclear... Em geral, pouco mal trazem. Nao danificam arquivos nem provocam perda de dados, mas causam uma serie de aborrecimentos que atrapalham todo o seu trabalho. E tao grande quanto a sua difusao e a falta de informacao a respeito deles. Se voce chegou a ler este texto ate aqui, nao pare. Leia-o ate o fim. Se preferir, imprima-o e leia depois com mais calma. E procure principalmente divulgar o que aprender. A informacao e a vacina que pode nos ajudar a livrar a Internet destes virus, tao simples mas tao comuns. ------------------------------ O QUE E UM VIRUS? Virus e' um programinha, com uma serie de instrucoes "maldosas" para o seu computador executar. Em geral, ficam escondidos dentro da serie de comandos de um programa maior. Mas eles nao surgem do nada. Sao feitos por gente desocupada, que nao tem nada o que fazer e fica criando bobagens para encher o saco dos incautos. E o pior e' que, em geral, eles atingem seu objetivo. Os virus se ocultam em arquivos executaveis, ou seja: de programas, sempre de extensao .EXE ou .COM, ou de bibliotecas compartilhadas, de extensao .DLL. Quanto a arquivos de dados, voce pode abri-los sem medo! Assim, pode rodar tranquilamente seus arquivos de som (.WAV, .MID), imagem (.BMP, .PCX, .GIF, .JPG), video (.AVI, .MOV) e os de texto que nao contenham macros (.TXT, .WRI). Para que o virus faca alguma coisa, nao basta voce te-lo em seu computador. Para que ele seja ativado, passando a infectar o micro, e' preciso executar o programa que o contem. E isto voce so' faz se quiser, mesmo que nao seja de proposito. Ou seja: o virus so e ativado se voce der a ordem para que o programa seja aberto, por ignorar o que ele traz de mal pra voce... Se eles nao forem "abertos", ou seja, "executados", o virus simplesmente fica inativo, alojado, aguardando ser executado para infectar o computador. Apos infectar o computador, eles passam a atacar outros arquivos. Se um destes arquivos infectados for transferido para outro computador, este tambem vai passar a ter um virus alojado, esperando o momento para infecta-lo, ou seja: quando for tambem executado. Dai o nome de virus, pela sua capacidade de auto-replicacao, parecida com a de um ser vivo. ------------------------------ VIRUS DE MACRO Recentemente, vem se espalhando uma nova especie de virus, que hoje ja' corresponde a mais de 50% do total de infeccoes. Sao os famosos "virus de macro". Eu recebi ontem mesmo um arquivo do Word contaminado com um "virus de macro". E quem o enviou foi um amigo de Internet. Tenho certeza de ele nao mandou o arquivo com maus propositos -- pelo contrario, e uma vitima destes virus tanto quanto eu. Pra mim ja e uma rotina. De cada dez arquivos de Word que recebo, um esta contaminado. Alias, e bem provavel que seu computador ja tenha um virus de macro agora. So que voce ainda nao percebeu, ou o deixou ficar quieto. Mas afinal de contas, o que e macro? Macro e uma serie de rotinas personalizadas para serem feitas automaticamente no Word, ou no Excel, ou qualquer outro programa que suporte VBA (Visual Basic for Applications), a linguagem usada nas macros. Os virus de macro mais comuns sao os do Word, por ser o programa mais difundido. Voce pode criar uma macro pra acrescentar um cabecalho automaticamente assim que voce clica num botao da barra de ferramentas, ou para abrir o Painel de Controle apenas com uma combinacao de teclas, ou ainda para retirar todas as cedilhas, acentos etc. de um texto. A macro e quase um programa, interno a outro programa. O virus de macro e um virus feito na linguagem das macros, para funcionar dentro do programa ao qual esta ligado. Ao abrir um documento de Word (.DOC) infectado com um virus de macro, o virus e ativado, gravando sobre o arquivo NORMAL.DOT (modelo geral dos arquivos do Word) e criando macros que substituem boa parte dos comandos normais do Word. A partir dai, quando voce estiver usando o Word, voce vai comecar a verificar sintomas os mais diversos, dependendo do virus que voce tem. Se voce verificar algum dos abaixo relacionados, provavelmente seu computador ja esta infectado: - quando voce tenta salvar um arquivo, ele salva com a extensao .DOT em vez de .DOC; - todos os arquivos do Word sao salvos assim que voce o fecha, como Doc1.doc, ou Doc2.doc, e assim por diante, sem sequer perguntar se quer salva-lo ou nao; - uma mensagenzinha fica correndo pelo rodape da janela do Word; - palavras ficam aparecendo sem voce digita-las e imediatamente se apagam; - a impressora trava sem explicacao; - o computador fica "trabalhando" (ampulheta) sem que voce peca para fazer nada; - retira dos menus todas as mencoes a macro, de forma que voce fica impedido de manipular as macros para retirar o virus; - todas as macros personalizadas que voce tenha criado antes sao perdidas (esta e a pior sequela). Uma vez infectado o arquivo NORMAL.DOT, todos os outros arquivos que forem abertos no Word a partir de entao serao infectados. Se voce enviar um arquivo infectado para alguem, por disquete ou e-mail, ele pode infectar o computador do destinatario, se ele o receber e o abrir no Word, e o ciclo recomeca. Os virus de macro nao estao escondidos na forma de um arquivo executavel (.EXE, .COM, .DLL), mas em um inocente documento do Word (.DOC) ou numa planilha do Excel (.XLS). Trata-se de uma verdadeira revolucao dos virus. E ai esta a causa da facilidade com que eles se propagam. As macros se transformaram em verdadeiras armas postas à disposicao de quem quer fazer um virus. Ninguem imagina que um texto que a namorada escreveu ou uma planilha que um colega de trabalho mandou possa estar infectado. E a pessoa que lhe enviou o arquivo com o virus pode nem saber (e geralmente nao sabe) da infeccao... Ainda assim, e bom frisar: mesmo os virus de macro so infectam seu micro se voce abrir o arquivo que o contem. Nao basta receber o arquivo infectado, seja por que meio for: e necessario abri-lo para que o virus seja ativado. ------------------------------ COMO EVITAR OS VIRUS DE MACRO O que podemos fazer para evitar virus de macro? Uma das opcoes e' infalivel! Marcar o arquivo NORMAL.DOT como "somente leitura" ("read-only") e, de todas, a melhor opcao, e tambem a mais radical. Como fazer isto? Em primeiro lugar, localize este arquivo. Geralmente, ele fica no diretorio (ou pasta) onde esta o Word. No Windows 95, basta clicar com o botao direito do mouse sobre o nome do arquivo, selecionar "Propriedades" e marcar o quadradinho com o nome "somente leitura". No Windows 3.x, o procedimento e semelhante: abre-se o Gerenciador de Arquivos, localiza-se o NORMAL.DOT, clica-se sobre ele uma vez so com o mouse, e, no menu Arquivo | Propriedades..., marca-se o "somente leitura". E' tao facil assim evitar virus de macro? Em principio, sim. O arquivo NORMAL.DOT e' o modelo global em que se baseiam todos os documentos que feitos no Word, e e' o primeiro a ser infectado assim que o virus se aloja. Se ele nao puder ser sobregravado, o arquivo com o virus pode ate' ser aberto, mas nao vai conseguir modificar o NORMAL.DOT, que esta protegido contra gravacao. E se eu precisar mesmo alterar o NORMAL.DOT? Bem, este arquivo so precisa ser modificado muito raramente, quando voce faz uma alteracao em um parametro no modelo geral do Word -- por exemplo: escolhe uma nova fonte padrao, ou uma margem maior, ou um estilo de documento, ou um novo botao na barra de ferramentas, valido para todos os documentos do Word. Pouca gente faz isto com frequencia. Se voce, por acaso, precisar fazer uma destas alteracoes, basta desmarcar o "somente leitura", fazer a alteracao e depois voltar a marca-lo. Eu utilizo o VirusScan, que pode ser obtido gratuitamente na pagina da McAfee -- alias, recomendo a todos que facam isto agora (nao deixe para depois...). Vamos todos na pagina da McAfee (http://www.mcafee.com) retirar a versao mais nova do anti-virus. O arquivo mede cerca de 4 MB. Pode demorar ate uns 15 minutos, dependendo de sua conexao, mas e um tempo muito bem investido. Se voce for surpreendido por um virus mais tarde, voce vai ver que o tempo (e o gasto de paciencia) para elimina-lo sera bem maior. De 45 em 45 dias, retorne la para retirar a versao mais nova dos arquivos DAT do anti-virus. Frise-se bem: depois que voce ja tem o programa VirusScan, nao e mais necessario tirar todo o anti-virus de novo quando sua versao ficar desatualizada. Basta retirar uns poucos arquivos terminados com a extensao .DAT, que sao os que guardam informacoes sobre os virus., que juntos, tem apenas 1 MB. Voce pode obter a ultima versao destes arquivos .DAT diretamente no endereco: http://www.mcafee.com/down/dldat.html O processo para instalar os novos arquivos .DAT e um pouco mais chato, por ser manual. Depois de retirar e descompactar os arquivos .DAT, localize onde estao os seus atuais arquivos .DAT (ja desatualizados) do VirusScan (em geral, estao em: c:\Arquivos de Programas\McAfee\VirusScan\). Basta arrastar os novos arquivos .DAT para esta pasta, confirmar a substituicao e pronto. Voce esta de novo com as vacinas em dia. Informacoes da McAfee sobre virus de macro: http://www.mcafee.com/support/techdocs/vinfo/t0016.html Outra opcao para prevenir virus de macro: va' na pagina da Microsoft. La' existe uma ferramenta, chamada ScanProt, na verdade um modelo (.DOT) com um conjunto de macros para protecao do Word. Voce o abre no Word e a instalacao e automatica. O arquivo inclui um manual, todo EM PORTUGUES, em formato Word, explicando tudo. Este ferramenta vai avisa-lo sempre que um arquivo .DOC contendo uma macro esta sendo aberto, mesmo que nao contenha virus. E permite que voce opte por abrir o arquivo sem executar as macros. O endereco e': http://www.microsoft.com/word/freestuff/mvtool/virusinfo.htm O Word versao 95a ou o Word 97 ja trazem esta ferramenta embutida. Mas ha' uma atualizacao dela em http://www.microsoft.com/office/antivirus/word/wordprot.htm Para informacoes sobre virus de macro no Excel, va em http://www.microsoft.com/excel/productinfo/vbavirus/emvolc.htm ------------------------------ Na primeira vez em que eu fui atacado por um virus de macro, eu estava com o anti-virus instalado e funcionando. Mas, por um descuido meu, a versao dos arquivos .DAT era de fevereiro. E ja corria o mes de abril. Fui negligente achando que uns poucos meses de atraso nao iam fazer diferenca. Fizeram, e muito! O virus que peguei simplesmente nao foi detectado pelo anti-virus atrasado que tinha. Dai, alerto: nao adianta nada ter um anti-virus se voce nao o atualiza todo mes. Depois da casa arrombada, passei o VirusScan ultima versao da epoca, e ele detectou, de pronto, o virus CAP. Limpou, direitinho e com a maior facilidade do mundo, os arquivos infectados. Por uma coincidencia incrivel, naquela mesma semana eu estava comentando sobre virus de macro com colegas. Um deles me disse que, na reparticao onde ele trabalha, ha um virus de macro ha 5 meses, e nunca ninguem cuidou de elimina-lo, apesar de todos os incomodos que ele causa. Assim que fui infectado, fui procurar ajuda no meu BBS. Um amigo me disse, com ar de certo "desdem"... :-): Todo mundo tem este virus! E verdade. Parece ate uma gripe. Todo mundo tem, e parece ate inevitavel te-lo. Mas poderiamos fazer mais para evita-lo. Ou para elimina-lo, depois de feito o estrago. ------------------------------ COMO ELIMINAR OS VIRUS DE MACRO Quem tem um virus de macro so' nao o elimina se nao quiser. Os anti-virus estao ai para detecta-los e elimina-los com facilidade. E possivel encontrar um virus de macro mais dificil de ser removido, mas sao casos excepcionais. Para remover virus de macro, experimente um destes anti-virus: McAfee Virus Scan: http://www.mcafee.com F-Macrow: http://www.europe.datafellows.com Dr. Solomon's Anti-Virus Toolkit: http://www.drsolomon.com Norton Anti-Virus: http://www.symantec.com/avcenter/hotv.html PC-Cillin 95: http://www.trendmicro.com.br Thunderbyte Anti-Virus: http://www.thunderbyte.com VirusSafe 95: http://www.eliashim.com/index.html InterScan VirusWall: http://www.com.tw F-Prot: http://www.commandcom.com HouseCall: http://www.antivirus.com ------------------------------ COMO ELIMINAR SEQUELAS DOS VIRUS Pode ser que, mesmo depois de eliminado o virus de macro, ainda restem algumas sequelas no seu Word: menus faltando, botoes a menos, travamentos, combinacoes de teclas desativadas. Primeiro, tente seguir as dicas que voce encontra nesta pagina, no site da McAfee: http://www.mcafee.com/t0118.html. La, voce pode retirar o programa DocFix, especifico para resolver estes problemas. Se nao der certo, ha uma solucao radical, mas eficiente, a ser tentada em ultimo caso. Delete o arquivo NORMAL.DOT. Automaticamente, o Word criara outro NORMAL.DOT, com as configuracoes-padrao do programa. A desvantagem e que voce perdera as suas configuracoes personalizadas: se voce tinha alguma configuracao personalizada (Autotexto, Macros, barras de Ferramentas personalizadas), elas serao perdidas. Mas pelo menos, voce tem a certeza de que as sequelas sumirao. Agora, de nada adianta tudo isto se voce ainda tiver algum documento do Word infectado no seu computador, que pode infectar o NORMAL.DOT novamente a qualquer momento. Passe o anti-virus antes de fazer o descrito acima. Depois de terminar o reparo, nao esqueca de colocar o novo NORMAL.DOT como somente-leitura. ------------------------------ MAIS INFORMACOES SOBRE VIRUS DE MACRO voce pode obter nas paginas: http://www.microsoft.com/office/antivirus/ http://www.microsoft.com/MSWordSupport/content/usage/MacroVirus/ http://www.mcafee.com/t0016.html http://www.datafellows.com/macro/word.htm http://www.bis.com.br/~lafanet ------------------------------ Peco a todos os que chegaram ate o fim deste texto que se juntem a esta ideia. Alias, esta ideia nada deve ter de original! Nao tenho dados, mas estimo que 99% dos usuarios de Internet nao usam anti-virus, ou tem anti-virus atrasados. E que 90% dos usuarios de Word tem um virus de macro, mas nunca perceberam, ou, se perceberam, deixam o bichinho la' quieto, apesar do incomodo que eles causam. ---------------------------------------------------------------------- PAULO GUSTAVO SAMPAIO ANDRADE Estudante de Direito na UFPI Editor da pagina juridica "Jus Navigandi" (http://www.geocities.com/Paris/1997) Teresina - Piaui - Brazil E-mail: jus@mail.org

ro, mas nunca perceberam, ou, se perceberam, deixam o bichinho la' quieto, apesar do incomodo que eles causam. ---------------------------------------------------------------------- PAULO GUSTAVO SAMPAIO ANDRADE Estudante de Direito na UFPI Editor da pagina juridica "Jus Navigandi" (http://www.geocities.com/Paris/1997) Teresina - Piaui - Brazil E-mail: jus@mail.org