TechTudo

Fechamos a coluna anterior comentando que a forma aparentemente mais lógica de descobrir se uma máquina está contaminada por um “rootkit”, um programa mal intencionado que se assenhoreia das funções do sistema operacional impedindo que sua presença seja detectada por este sistema, é rodar um programa que seja capaz de identificar a presença do “rootkit” sem que o sistema operacional seja carregado.

É óbvio que aqueles entre os leitores que possuem noções mínimas de informática acharam a assertiva um bocado estranha. Afinal, como carregar um programa sem carregar antes o sistema operacional se é o sistema operacional que carrega os programas?

Bem, de fato a coisa é aparentemente impossível. É claro que existem rotinas capazes de rodar antes que o sistema operacional seja carregado – o que, aliás, é evidente por si mesmo: se não fosse possível rodar uma rotina de programação antes da carga do sistema operacional, como seria possível carregar o próprio sistema operacional?

Mas existe uma grande diferença entre rodar rotinas específicas capazes de testar o hardware e carregar o sistema operacional (como as que rodam no procedimento de inicialização da máquina) e rodar um utilitário relativamente poderoso, capaz de inspecionar os arquivos contidos nos dispositivos de armazenamento secundário (como os discos rígidos) para detectar uma eventual contaminação por “rootkit”.

Quer dizer: parece que estamos frente a um impasse. Uma situação tipo “se ficar o bicho come, se correr o bicho pega”.

Mas nada em informática é muito complicado (quem afirma o contrário está apenas fazendo um esforço para impressionar a plateia e valorizar o pouco conhecimento que tem). Tudo é de fato muito simples. E basta ter um pouco de paciência que logo veremos como é possível que um utilitário relativamente “pesado” como o que usaremos adiante seja capaz de rodar antes da carga do sistema operacional instalado na máquina e inspecionar os arquivos deste sistema.

Então vamos nessa.

Windows Defender

Você já ouviu falar do Windows Defender? Um programeto da MS destinado a proteger o computador contra infecções de programas espiões (“spywares”)? O produto foi desenvolvido originalmente por uma companhia chamada GIANT AntiSpyware, comprada pela MS em 2004, e relançado como “Microsoft AntiSpyware” no ano seguinte. Em 2006 ele foi rebatizado de Windows Defender, posto à disposição dos usuários como produto gratuito para Windows XP e, mais tarde, incorporado aos Windows Vista e 7.

Windows Defender

Depois a MS comprou ainda outra empresa, a Sybari, cujo produto foi ligeiramente modificado e passou a ser distribuído pela MS sob a forma de um programa antivírus denominado MS Forefront . Cuja versão mais recente, revista, atualizada e transformada em um pacote (quase completo) de segurança, foi rebatizada de “Microsoft Security Essentials” (MSE) e também posta à disposição gratuitamente dos usuários de Windows.

Pois bem: se você baixar e instalar o pacote MSE em uma máquina onde já tenha instalado o Windows Defender, este último será desabilitado, já que suas funções, além de muitas outras, são cumpridas pelo pacote MS Security Essentials.

É por isto que hoje em dia quase não se ouve falar mais do Windows Defender.

Em resumo: aquele Defender que você conheceu – se é que conheceu – morreu de morte natural. E seu nome ficou dando sopa por aí (dentro da Microsoft, naturalmente).

Então, se você conheceu o Windows Defender, esqueça-se dele.

Windows Defender Offline

Agora, vou apresenta-lo ao Windows Defender Offline, ou WDO. Um produto cuja única coisa que tem em comum o velho Windows Defender é o nome “Defender” que, como estava dando sopa, foi aproveitado (coisas do mercado, naturalmente; pior vem fazendo a Intel com seus i3, i5, i7, i-isso e i-aquilo, que fazem uma confusão infernal na cabeça de quem pretende se manter atualizado com as características técnicas de seus processadores).

Diferentemente de seu xará mais velho, o Windows Defender Offline não é um programa “antispyware”. Sua principal função é procurar e, se encontrar, eliminar “rootkits”. Além disto, em máquinas que eventualmente se recusem a inicializar devido à presença de algum programa mal intencionado, pode-se rodar o WDO para fazer uma varredura nos dispositivos de armazenamento secundário e tentar identificar, localizar e eliminar o responsável, seja ele um “rootkit” ou não.

Para cumprir suas funções ele tem que ser capaz de fazer justamente aquilo que mencionamos pouco acima e que parecia impossível: rodar sem que o sistema operacional tenha sido carregado. Ou quase isso.

Vamos tentar destrinchar a coisa: o Windows Defender Offline não é capaz de rodar “sem um sistema operacional”. Na verdade, não há programa minimamente útil que seja capaz de fazer isto. O que o Windows Defender Offline é capaz de fazer é rodar sem que seja carregado o sistema operacional instalado na máquina a ser examinada (aquele que se suspeita de estar contaminado com o “rootkit” ou que se recusa a inicializar o micro). E pode fazer isto porque carrega consigo seu próprio sistema operacional. Que não chega a ser uma versão completa de Windows, mas um sistema bastante mais simples, porém suficientemente robusto para oferecer o suporte para que o WDO rode, faça uma varredura na máquina (cujo grau pode ser ajustado na configuração feita pelo usuário) e detecte a eventual presença de um “rootkit”. É por isto que se chama “Offline”.

É também por isto que o WDO pode funcionar como um utilitário autônomo: como traz consigo a espinha mestra de um sistema operacional – que é carregado antes do instalado na máquina a ser inspecionada, que deve então ser ajustada para isto – não depende de qualquer outro recurso, inclusive do SO da máquina. Que pode então ser inspecionado arquivo por arquivo diretamente do disco rígido onde está armazenado, sem que possa interferir no processo. É assim que o WDO pode identificar, isolar e remover um “rootkit” entranhado em um sistema operacional sem que este sistema operacional possa interferir para protege-lo.

Engenhoso, pois não?

Resumindo: o Windows Defender Offline, ou WDO, é um utilitário que deve ser instalado em uma mídia removível e inicializável (por exemplo: um disco ótico tipo CD ou DVD ou um disco de memória “flash” tipo “pen-drive”, desde que se possa proceder a inicialização da máquina por ele). A mídia carregará, além do programa executável do WDO e do banco de dados de definições de vírus e “rootkits”, sua própria versão do sistema operacional, simplificada porém suficientemente robusta para oferecer suporte ao WDO enquanto ele executa sua faina de efetuar uma varredura na máquina supostamente contaminada em busca de “rootkits” e outros programas mal intencionados.

É um produto da Microsoft, portanto provém de uma fonte confiável, e é gratuito.

Na próxima coluna veremos como obter, instalar e usar o Windows Defender Offline.

Até lá

B. Piropo