Packers: veja como hackers experientes podem esconder vírus em seu computador

Para a maioria dos usuários a primeira ação a ser feita após instalar o sistema operacional Windows é sair em busca de um programa anti-virus, de preferência um que traga firewall e outras ferramentas adicionais de segurança. Normalmente, pesquisamos e escolhemos o que nos oferece o melhor custo-benefício, seja ele pago ou gratuito, mas será que estamos realmente seguros?

Embora os anti-virus mais modernos sejam capazes de detectar milhões de tipos diferentes de malwares cadastrados nos bancos de dados das empresas de segurança, poucos são os que conseguem perceber a instalação de uma versão modificada, mesmo que seja utilizada uma amostra conhecida pela empresa. Essa técnica utiliza ferramentas conhecidas como packers, capazes de camuflar o código original do vírus e torná-las praticamente invisíveis para a grande maioria dos anti-virus.

As empresas de softwares de segurança utilizam engenharia reversa para detectar um malware, que é basicamente analisar o código fonte desses programas e ver os efeitos causados por eles, criando em seguida uma vacina tanto para detectar quanto para eliminar esse malware caso ele apareça em uma outra máquina futuramente. Outro recurso é conhecido como heurística, que identifica traços de comportamento de códigos maliciosos e os bloqueia mesmo que não tenha a assinatura dele em seu banco de dados.

Quando um packer é utilizado, modificando a forma que o malware se comporta e camuflando a sua presença para os antivírus, eles não deixam pistas, e assim o antivírus não pode bloqueá-lo, pois ele se comporta como se fosse um arquivo comum. Depois de instalado, passa a ser quase impossível detectá-lo.

Os packers comprimem o arquivo original para esconder seu conteúdo (como um malware) utilizando métodos que não vemos em nosso dia a dia (como ZIP e RAR), sendo frequentemente mais eficientes do que estes programas e fazendo uso de criptografia. Essa compressão é tão alta que faz com que os traços que identificam o malware como tal para os antivirus sejam praticamente indetectáveis.

Dessa forma, a engenharia reversa feita por empresas de anti-virus passa a ser extremamente difícil, quando não impossível devido ao custo computacional necessário para descomprimir o arquivo, ainda mais quando o malware utiliza qualquer forma de criptografia. Como exemplos de packers temos o Exe Stealth e XComp/XPack PE32.

É importante lembrar que nem todos os packers são utilizados para transferir malwares e infectar computadores. Algumas pessoas simplemente utilizam esses programas para transportar informações pela web utilizando menos banda, já que o arquivo final é muito menor. Porém, como raramente os anti-vírus detectam um malware bem camuflado por não ter pistas sobre como localizá-lo, o cuidado ao navegar na internet e baixar arquivos nunca é demais.