“Geralmente quando um vírus invade seu computador, ele se instala no registro do Windows (regedit). Eu gostaria de saber se isso é verdade ou apenas mentira e, se for verdade, como fazer para identificá-lo no regedit e excluí-lo.”

Existe muito mistério sobre os usos e a influência do registro no sistema, o que torna comuns dúvidas como essa, enviada por um leitor de Linha Defensiva.

Antes de tudo é importante entender que o “Regedit” não é o “registro”, mas sim o Editor do Registro (Registry Editor). Ele serve para você ver, de uma forma organizada e estruturada, todo conteúdo do registro que é, na verdade, um banco de dados. Qualquer programa pode ler o registro, mesmo não sendo o regedit, e lhe apresentar os dados de forma diferente.

O registro é utilizado para salvar configurações de programas, restrições de configurações do sistema, associações de arquivo (para o sistema saber que o “doc” é do Word, por exemplo), entre outras coisas. Como qualquer programa, um vírus pode utilizar o registro para salvar suas configurações ou outras informações (como por exemplo, a data de infecção ou o número de e-mails infectados enviados…).

Mas esse não é o principal uso do registro pelos vírus. Para funcionar, o vírus precisa estar ativo na memória. Antigamente, isso era feito infectando-se o setor de boot do disco ou então o interpretador de comandos (Command.com, no MS-DOS). Isso ficou mais difícil nos sistemas mais modernos, pois o Windows XP, por exemplo, possui o Windows File Protection (WFP) que protege arquivos críticos do sistema contra alterações. Alguns vírus ainda conseguem burlar essa proteção e mesmo assim infectar arquivos como o “explorer.exe”, mas a maioria dos códigos maliciosos — até para permanecerem mais simples — preferem utilizar outros meios para iniciar junto com o sistema.

As alterações que a maioria dos vírus (ou melhor, cavalos de tróia e worms) fazem no registro servem para que eles possam ser iniciados junto com o sistema. Quando iniciados, eles então começam o seu trabalho, seja ele dar acesso remoto ao hacker, enviar e-mails infectados para outros usuários, roubar senhas, etc. Nada é possível se o vírus não for carregado na memória e, como o hacker não pode confiar que o usuário execute manualmente o vírus toda vez que o sistema iniciar, ele utiliza o registro para que o Windows faça isso automaticamente.

A pasta “Inicializar” no menu Iniciar (chamada de “Iniciar” no Windows 9x) também permite que códigos maliciosos sejam iniciados. Tente copiar um arquivo do Bloco de Notas ou atalho para um programa para a pasta Inicializar e você verá que aquele arquivo será aberto toda vez que o Windows iniciar. Com o registro é exatamente a mesma coisa, com uma grande diferença: a maioria dos usuários não conhece o registro, muito menos sabem quais são as “chaves” que podem fazer um arquivo ou programa ser aberto pelo Windows quando ele iniciar.

Os registros ruins

Existem programas que facilitam nossa vida e lêem apenas as partes do registro que servem para esse propósito de iniciar programas e serviços. O problema é que as mesmas entradas usadas pelos vírus também são usadas por outros programas, utilitários e até mesmo drivers de sistema, o que torna alterações nessas áreas do registro uma coisa perigosa se você não tiver absoluta certeza do que está fazendo. Um dos programas que exibe essas entradas no registro é o MSConfig, que acompanha praticamente todas as versões do Windows (com exceção do Windows 2000). Outro software muito conhecido que faz isso é o HijackThis, que é utilizado pela nossa equipe para auxiliar na remoção de vírus.

Um terceiro exemplo de utilitário com essa função é o AutoRuns, da SysInternals. Ele é mais completo que o HijackThis e o MSConfig, mas necessita de mais cuidado ao ser utilizado para não causar danos ao sistema. O StartDreck também tem o mesmo objetivo. Não vale a pena utilizar o regedit quando uma dessas ferramentas estiver disponível, já que com elas você não precisa navegar manualmente pelas entradas e já tem na sua tela somente o que importa.

É importante deixar claro que de nada servem entradas no registro se os arquivos do trojan forem removidos. As pragas mais modernas possuem funções que protegem as entradas no registro para dificultar que elas sejam removidas e que a praga seja desativada, portanto é mais fácil utilizar um programa como o KillBox para apagar os arquivos e só depois se preocupar com as entradas no registro. Também de nada servem arquivos se o registro responsável pela sua inicialização foi removido — a praga não será iniciada pelo sistema e não estará ativa, mas, se o arquivo for executado, ele será ativado novamente e possivelmente criará uma entrada no registro que o manterá ativo depois que o computador for reiniciado.

Como identificar quais as entradas que são boas ou ruins? Isso pode ser muito complicado, pois alguns cavalos de tróia utilizam entradas aleatórias que muitas vezes mudam toda vez que você reinicia o sistema. Existem bancos de dados na Internet que possuem listas de arquivos e podem auxiliá-lo a desativar vírus e programas desnecessários usando as ferramentas citadas. Vários deles são mencionados no documento HijackThis Completo, que ensina passo-a-passo a ler a informações geradas pelo HijackThis (e inclusive quais as entradas no registro responsáveis por elas). Antivírus, como sempre, podem ajudar: sempre que o antivírus detectar um arquivo ruim, anote o nome dele e procure por referências ao arquivo nessas ferramentas. Se você não encontrar, é possível que o antivírus a tenha removido ou o vírus na verdade nunca esteve ativo no seu computador.

Importante: Note que os aplicativos mencionados no texto (HijackThis, MSConfig, StartDreck e AutoRuns) não são antivírus! Eles apenas exibem as entradas no registro, mas isso não significa que elas são necessariamente ruins, pois o registro também é utilizado por programas legítimos e drivers necessários para o bom funcionamento do sistema. Não marque/remova tudo que eles encontrarem ou o seu sistema deixará de funcionar corretamente. Pesquisa sobre cada entrada utilizando a internet e só então decida se elas devem ser removidas ou não.

Escrito por Altieres Rohr

Editor da Linha Defensiva.

Todos os posts Website

4 comentários

  1. Pedro 26/07/2006 às 20:04

    Muito boa a matéria. Gostaria de dar uma sugestão: Muitas vezes com a instalação de programa e/ou vírus e suas remoções sempre deixa rastros no registro. Isso pode causar uma perda de performance se as entradas inválidas forem se acumulando. Para fazer uma faxina no registro recomendo o MV RegClean já até discutido no fórum Linha Defensiva. O link para download é este: http://superdownloads.uol.com.br/download/i17746.html

    Curtir

  2. Juan 29/07/2006 às 10:34

    Queria saber, se é verdade que virus ficam instalados na memoria ram, se é verdade como é possivel, sendo que a memória ram necessita de uma fonte de alimentaçãopara manter a informação(volátil)
    Que eu saiba, quando o computador é desligado, tudo se perde na memória, correto??
    Grato se for esclarecida minha duvida

    Curtir

  3. Altieres Rohr 29/07/2006 às 14:58

    Juan

    Sim! Existem alguns vírus capazes sobreviver o reinício do sistema (boot quente), mas com um boot frio (desligado por pelo menos 10 segundos) não é possível que o vírus sobreviva apenas na memória na RAM. Será necessário algum outro meio de reinício, como o registro.

    Outra coisa: a maioria dos vírus capazes de sobreviver ao boot frio já está extinta.

    Curtir

  4. Douglas Nunes 31/07/2006 às 23:34

    Pedro, obrigado por disponibilisar o programa para o download, estou usando nesse exato momento, e ele encontrou apenas 1194 itens invalidos.

    sempre as melhores dicas de segurança.

    Curtir

Os comentários estão encerrados.