Quem lida há um bom tempo com informática com certeza já deve ter visto um vírus em ação, um HD ou gravador de DVD "falecerem", uma partição do disco ser apagada por engano, burrice ou distração, entre outras coisas "cabeludas" que podem acontecer pelos mais diversos motivos. Vou lhes contar agora mais alguns incidentes nos quais não me orgulho nem um pouco de ter sido o protagonista:
"No meio do caminho tinha um gerenciador de boot"
Um gerenciador de boot nada mais é que um programa gravado geralmente no início do HD (na MBR ou referenciado nela) e que permite escolher o sistema operacional que irá inicializar o computador. Pois bem, existem vários gerenciadores de boot - alguns de código fonte aberto como o GRUB e o LILO do Linux, e outros de código proprietário ou fechado, instalados geralmente a partir do Windows. Programas que gerenciam partições como o Acronis ou o Paragon também costumam fornecer gerenciadores de boot nas versões profissionais.
A grande lição que tenho a lhes passar é a seguinte: se você não conseguiu identificar o gerenciador de boot instalado numa máquina, nunca testou ou mexeu com um, não redimensione ou apague uma partição da máquina sem antes fazer o backup dos dados em DVD ou num HD externo.
A história é a seguinte: Um amigo meu tinha um computador com dual-boot entre o Windows 98 e o Windows XP. Havia um gerenciador de boot (que até hoje não descobri qual era) que permitia escolher entre um ou outro sistema durante a inicialização da máquina. Se não me falha a memória, meu amigo comentou em certo momento que já havia se acostumado ao Windows XP e que só não tirava o Windows 98 da máquina por causa dos e-mails do Outlook. Queria mais espaço em sua máquina e o 98 agora ocupava um espaço que poderia ser aproveitado para o download de músicas, vídeos, animações em flash etc. Então, se ainda não me falha a memória, me ofereci para "tirar" o Windows 98 e liberar mais espaço. Uma pequena obra de reforma estava sendo feita na casa desse meu amigo, com pintores pintando o lado externo da casa. O cheiro de tinta era forte e o calor era grande também. Minha cabeça começou a "rodar" com o cheiro da tinta e o raciocínio a ficar meio confuso quanto aos procedimentos a serem adotados para realizar aquela tarefa. Na época, eu estava começando a mexer com procedimentos mais assim "arriscados" como formatação e instalação do Windows e não recusava a oportunidade de poder mexer na máquina de outra pessoa. Esse foi o meu erro. Mesmo que haja oportunidade, é preciso agir com critério e segurança, para que possamos aprender sem danificar o que é dos outros. Não se pode juntar os dois fios de uma tomada elétrica, por exemplo (é curto-circuito na certa). E se as condições à nossa volta são desfavoráveis (calor ou frio demais, odores tonteantes, falta extrema de espaço para movimentação etc.) e a nossa resistência física também começa a falhar, é melhor não agir ou não tomar nenhuma decisão delicada que possa por em risco o funcionamento e a usabilidade normal da máquina, num procedimento de manutenção ou modificação do sistema. Vamos aos fatos: primeiro, se não me engano, copiei os arquivos .dbx do Outlook para a partição onde estava o XP, depois apaguei a partição do 98 - até aí tudo bem, o espaço do 98 poderia ser usado normalmente, mas - e aqui o raciocínio falhou - caí na besteira de redimensionar e mover a partição do XP para melhor aproveitamento e unificação do espaço útil. Ora, como o gerenciador de boot iria "bootar" a partir de um endereço no disco onde agora não estavam mais os arquivos de inicialização que ele esperava encontrar? Eles haviam sido movidos para o início de uma partição, agora unificada, e não estavam mais no "meio" do disco, onde estavam anteriormente. Como eu não sabia - e até hoje não sei - lidar com gerenciadores de boot, de modo a atualizar os endereços e setores de inicialização para que o sistema voltasse a "bootar", o serviço não deu certo, meu amigo teve que pagar para alguém recuperar os seus dados e reinstalar o XP e eu não tive mais coragem de voltar na casa desse meu amigo. Quer dizer, ainda voltei na casa dele umas duas ou três vezes, eu acho, mas a amizade que existia passou a ser uma vaga lembrança, não só por esse motivo mas também pela falta de tempo...
A lição então é esta: se você nunca testou um determinado procedimento, não acredite na sorte, em mágica ou na providência divina, porque em situações extremas e se você não sabe com certeza se aquilo vai dar certo, é melhor não tentar e fugir da tentação de mexer, quando não há a possibilidade de errar e tentar de novo (a menos que você saiba ou tenha condições de consertar o erro - o que não era o caso de um iniciante como eu na época; hoje, pelo menos, já conheço alguns programas para recuperação de dados, mas naquele tempo não tinha muita noção a respeito). Se é pra valer, é melhor ter precaução. Em condições extremas, é melhor postergar uma decisão ou atitude, quando o risco é muito grande.
Apêndice:
Breve noção visual a respeito de HDs:
Repare, na foto abaixo, que um HD é composto de pratos (discos), que são divididos em trilhas (tracks) e setores (sectors). Cada trilha abriga vários setores. Veja, pelos desenhos abaixo, que na tecnologia atual chamada de "zoned bit recording" há menos setores na parte mais próxima ao centro e conforme se avança para as bordas, o número de setores vai aumentando, recurso este possível graças à natureza circular deste tipo de mídia: (Antigamente, nos primeiros HDs, havia um desperdício de espaço pois todas as trilhas tinham, fisicamente, apenas 63 setores - os setores do centro eram menores em comparação com os da borda do disco)
A MBR (master boot record - registro mestre de inicialização) corresponde ao primeiro setor do disco e guarda informações sobre como carregar o(s) sistema(s) operacional(is) - boot loader -, e sobre as partições existentes . Abaixo, podemos ver que há duas partições, com dois sistemas operacionais capazes de 'bootar" a máquina:
De acordo com os sites Wikipedia e Infowester, apurei que a MBR situa-se na primeira trilha mais externa ao disco.
Os discos que usam MBR possuem setores de 512 bytes (o primeiro setor do disco é reservado à MBR). Discos do tipo IDE e SATA I / SATA II, de até 2 Terabytes mais ou menos, normalmente usam setores de 512 bytes. Já os discos atuais SATA III, de 2 Terabytes ou mais de capacidade, geralmente usam setores de 4kb (4 kilobytes) e não usam MBR, mas sim a GPT (Guid Partition Table), mas isso já é uma outra história...Abaixo, uma representação da MBR e sua estrutura, num HD de 4 partições:
Abaixo, comparação entre a MBR e a GPT:
O conjunto de trilhas concêntricas de vários pratos é chamado de cilindro:
"No meio do executável tinha um vírus, tinha um vírus no executável..."
Programas piratas costumam ser uma mão na roda e quebrar um galhão se você usa o Windows. Mas nem tudo que é de graça costuma sair barato...
Certa vez, eu entrei no site isohunt para procurar o torrent de um conhecido programa para lidar com imagens de cd/dvd (imagem, neste caso, não é nada além de um arquivo contendo todo o conteúdo de um cd/dvd ou HD/partição - como é uma cópia de todo o conteúdo, se o cd/dvd ou HD/partição for bootável, ele copia também o setor de boot). Há vários programas deste tipo para Windows - e, geralmente, eles tem a palavra "iso" no nome do programa (o iso é um formato de imagem padronizado, sendo que praticamente todos os programas que lidam com imagens de mídia óptica - cd ou dvd - dão suporte a ele). Enfim, achei um torrent com o executável do programa e um arquivo de texto contendo a serial (senha para registrá-lo). Baixei os arquivos e rodei o instalador do programa. Entretanto, logo percebi que havia algo de estranho: quando dei um duplo clique no executável, vi aquela rápida e típica animação no Windows Explorer mostrando que um arquivo executável estava sendo extraído de dentro do executável do instalador. Ora, este é um truque bastante antigo e manjado que qualquer um pode fazer, usando qualquer compactador de arquivos de sua preferência (winrar, winzip, brazip...); basta que se escolha a opção "criar arquivo self-extractor" (auto-extraível) ou coisa parecida.
Há ainda a possibilidade de se incluir alguns comandos para serem executados quando os arquivos forem extraídos, de modo que um arquivo self-extractor pode muito bem funcionar como o instalador de um programa.
Obs.: Há também os "joiners" (programas que "empacotam/juntam" dois arquivos executáveis dentro de um só) e os programas que criam instaladores (alguns pagos como o InstallShield e o WiseInstall - e outros gratuitos como o Nsis, o InnoSetup, o Robin Installer etc., além de outros mais obscuros, mas ainda assim gratuitos) e permitem a execução de scripts ou comandos.
O fato é que tanto o vírus quanto o instalador do programa foram extraídos e começaram a ser executados - o instalador prosseguiu normalmente e o vírus começou a fazer seus estragos na surdina. Após instalado o programa legítimo e registrado com a respectiva serial, o vírus começou a dar sinais de vida com o Norton Antivírus avisando que um arquivo tal do Windows tinha sido corrompido. E isso se repetindo várias vezes com vários arquivos da pasta System32, todos eles relacionados a serviços de rede ou similares, até que por fim o Windows emitiu um aviso dizendo que o serviço "Chamada de procedimento remoto" havia sido desligado e que o computador seria reiniciado em 60 segundos (se não me engano). Sem este bendito serviço, o Windows simplesmente entra em parafuso e reinicia. Conclusão da história: após reinicializar várias vezes o sistema, vi que não tinha mais jeito a não ser reinstalar o Windows e todos os programas que eu tinha instalado anteriormente (muitos, diga-se de passagem). Ainda bem que este vírus não era do tipo que apaga tudo do HD, pois só os arquivos do sistema em si foram corrompidos. Meus mp3 e videos do youtube, que estavam em outra partição do disco, ficaram a salvo (daí a importância de se instalar o Windows e os programas numa partição e criar outra só para os arquivos pessoais). Um detalhe importante que esqueci de dizer é que se o programa é protegido apenas por uma serial, é melhor baixar o instalador a partir do site oficial do programa e procurar por uma serial que sirva para aquela versão do programa. Há muitos sites como o keygenguru, serials.ws e tantos outros (a maioria em inglês) onde se pode procurar por seriais. Geralmente esses sites veiculam propagandas relacionadas a sexo e pornografia - isso quando não têm scripts maliciosos ou mesmo vírus escondidos em suas páginas (os que eu indiquei anteriormente são relativamente confiáveis; há também o astalavista.box.sk, que é um site que procura dentro de outros sites a serial ou o crack que você precisa - não entre em sites de cracks e seriais sem estar com o antivírus habilitado). Na época eu usava o Norton Antivírus 2005, sendo que já estávamos no começo de 2007. Fica aí o aviso: instale sempre uma versão do antivírus que seja atual, do ano. De raiva, nunca mais usei o Norton Antivírus, mas eu também tinha vacilado e, ao que parece, o Norton já não é mais tão bom como era no começo daqueles tempos, quando o Windows 98 ainda era o sistema operacional mais usado. Hoje o Avast, além de ter uma versão gratuita, ainda tem se mostrado bom de serviço, inclusive bloqueando downloads nocivos. O Mcafee e o Kaspersky são bons também, (aliás, o Kaspersky é um antivírus incrível e poderoso, capaz de bloquear muitos comportamentos suspeitos de programas) mas o último Kaspersky antivírus que eu testei se mostrou "pesado" demais gerando muita atividade de disco e fazendo muito uso do processador, por isso recomendo o Avast em conjunto com o uso de um bom firewall. O chato do Avast grátis é que ele precisa ser registrado gratuitamente pela internet ou ele pára de funcionar depois de 30 dias. Mas, tirando isso... Enfim, como vocês podem ver, mesmo conhecendo algumas manhas, tem horas em que a gente vacila, ou por preguiça, descuido, cansaço, distração, pressa, enfim, ninguém é perfeito.
Veja, agora, como era fácil usar o Winrar em conjunto com um antivírus fraco e algumas características padrão do Windows XP para induzir uma pessoa distraída a executar um programa potencialmente nocivo.
Selecionamos dois executáveis (inofensivos, no caso) ->botão direito ->Winrar ->Adicionar ao arquivo:
Abrimos a imagem dentro do IrfanView (botãozinho da pasta sendo aberta):
Podemos também escolher um logotipo (também só aparece na opção "mostrar tudo" da aba "métodos"). Obs.: Deve ser uma imagem no formato bitmap (.bmp). Se não tiver uma, basta usar o IrfanView de novo para criar uma:
Posso escolher uma pasta comumente existente para extrair os arquivos:
Obs.: Considerando que o Windows Explorer, por padrão, esconde as extensões dos arquivos, quem suspeitaria que o ícone de um anjinho poderia representar um programa perigoso? Para descobrir como exibir as extensões dos arquivos no Windows Explorer, clique no link trabalhando-com-arquivos-no-windows para ver o meu tutorial a respeito.
Após dar um duplo clique no nosso pequeno programa, ele executa as operações especificadas anteriormente no arquivo self-extractor (criar uma pasta e executar um arquivo extraído).
Veja a pasta criada:
Para mandar ele executar dois arquivos, poderíamos lançar mão de alguns artifícios, como preencher o nome dos programas a serem executados antes e depois da extração:
Veja como fica o script:
No Windows XP SP3 ou no Windows 7, caso o instalador tivesse interface gráfica, com certeza ele seria barrado pelo controle de contas do usuário (como é o caso dos dois programas no script acima). Já se ele fosse um programa de console (linha de comando)...
Tenho quase certeza que o vírus que me infectou não tinha sido feito com o winrar ou qualquer outro compactador de arquivos. É mais provável que ele tivesse sido feito com algum obscuro programa para se criar instaladores, cujas rotinas de compressão/descompressão ou criptografia de dados fossem desconhecidas ou não reconhecidas pelo antivírus. Ou talvez a versão do antivírus que eu estava usando não escaneasse a descompressão de instaladores, sei lá. Esse exemplo do winrar foi só para mostrar como era fácil criar um arquivo mal-intencionado naqueles primórdios do Windows XP. Considerando que executáveis que rodam através do prompt de comando e arquivos .bat são facilmente executados até pelo Windows 7, então é fácil imaginar o quanto o Windows é assim, digamos, relapso quanto à segurança do usuário.
Mas caso o programa tivesse sido compactado com o winrar, bastaria entrar no Windows Explorer -> clicar com o botão direito do mouse -> abrir com o winrar, para ver quais arquivos estavam dentro dele:
É isso aí, "crianças", fiquem espertas... Todo cuidado é pouco com arquivos de origem duvidosa.
