Segurança da Informação Tópico 36 – Vírus (Malwares) Prof.Davison Marques Virus Definição Um vírus é um agente infeccioso, sem metabolismo independente e que pode se replicar somente no interior de células hospedeiras vivas. O termo vírus foi utilizado pela primeira vez durante a década de 80 para definir um programa capaz de copiar a si mesmo para dentro de um programa maior, modificando este programa, que pode ser chamado de hospedeiro. Ao se executar o hospedeiro, o vírus de computador pode fazer outras cópias de si mesmo e infectar outros programas. Quando os programas são trocados pelos usuários, eles levam consigo o vírus, infectando outros sistemas. Virus Definição Os vírus de computador podem anexar-se a quase todos os tipos de arquivo e espalhar-se com arquivos copiados e enviados de usuário para usuário. Uma simples rotina, ou comando, pode disparar o gatilho do vírus, que pode mostrar apenas mensagens ou imagens (sem danificar aquivos da máquina infectada), ou destruir arquivos e reformatar o disco rígido. Se o vírus não contém uma rotina de danos, ele pode consumir capacidade de armazenamento e de memória ou diminuir o desempenho do PC infectado. Virus Como se propagam Os vírus de propagam por meio de disquetes e de arquivos compartilhados, pelas redes corporativas, por arquivos anexados em mensagens de correio eletrônico e pela Internet. A rede mundial é hoje a principal via de propagação dos vírus -principalmente os de macro e os chamados "Cavalos de Tróia"-, pois ela permite que os usuários de computador façam download de vários programas e arquivos de fontes nem sempre confiáveis. Virus Como se propagam A forma mais comum de um vírus de boot se espalhar é iniciar um computador com um disquete infectado na unidade A:. Muitas vezes isto ocorre quando você acidentalmente esquece um disco de dados na unidade A: ao iniciar o computador. O disquete infectado imediatamente grava seu código no registro mestre de inicialização (MBR). O MBR é executado sempre que o computador é iniciado; portanto, deste momento em diante, o vírus é executado sempre que o computador é iniciado. Virus Como se propagam Em geral, os contaminadores de arquivo são espalhados por um usuário que inadvertidamente executa um programa infectado. O vírus é carregado na memória junto com o programa. Em seguida, ele infecta todo programa executado por este programa original ou por qualquer pessoa neste computador. Isto ocorre até a próxima vez em que a máquina for desligada. Virus Tipos - Arquivo Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa normal ou sobrescreve o arquivo. Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age diretamente sobre arquivos de dados. Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam executados. Virus Tipos - Alarme falso Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior número de pessoas possível. Se enquadra na categoria de vírus-boato e cartas-corrente. Virus Tipos - Boot Os vírus de setor de boot infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. Todos os disquetes e discos rígidos (incluindo discos com dados apenas) contêm um pequeno programa no registro de inicialização que é executado quando o computador é iniciado. Os vírus de setor de boot anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar a partir do disco infectado. Exemplos de vírus de setor de boot são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como vírus multiparticionados, infecta os registros de boot e os arquivos de programa). Virus Como Evitar Vírus de Setor de Inicialização Evite deixar um disco flexível no computador quando desligá-lo. Na reinicialização, o computador tentará ler a unidade e é neste momento que o vírus de setor de inicialização pode infectar o disco rígido. Sempre proteja seus disquetes contra gravação depois de terminar de gravar neles. Virus Tipos - Macro Os vírus de macro infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados. Virus Tipos - Mutante Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado. Tipos – Polimorfico Variação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de codificação. Virus Tipos - Script Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem de programação, e a JS, baseada em JavaScript. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas, como .vbs.doc, vbs.xls ou js.jpg Virus Tipos - Stealth Vírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar um arquivo sem necessariamente alterar o arquivo infectado. Worms Definição São programas maliciosos independentes que, diferentemente dos vírus, não necessitam contaminar outros programas ou mesmo de interferência humana para se propagarem. Aproveitam-se de brechas ou vulnerabilidades nos sistemas, para se instalarem e se replicarem através de computadores conectados em rede, enviando cópias de si mesmo de um computador para outro. Cavalo de Tróia Definição Na mitologia clássica, o cavalo de Tróia foi um imenso cavalo de madeira, construído pelos gregos sob a liderança de Odisseu. Após sua construção, encheram seu interior com soldados armados e o deixaram como oferenda às portas da cidade de Tróia, em sinal de uma suposta rendição. Uma vez levado para dentro da cidade, os soldados saíram do cavalo e abriram os portões para o restante do exército grego, que atacou a cidade e ganhou uma guerra que durou cerca de dez anos. Cavalo de Tróia Definição Analogamente, um cavalo de Tróia em computadores é um programa que pode ter aparência inofensiva, mas esconde uma outra função que é executar uma operação não autorizada. Um cavalo de Tróia típico pode ser um programa atrativo, cujo objetivo é instalar um grampo de teclado que envia para alguém não autorizado as senhas do usuário. Outro exemplo é a inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador. Costuma ser disseminado como um anexo de e-mail. Não se replica automaticamente. Spyware Definição Software que coleta informações de usuários de computador, sem que suas vítimas tenham conhecimento. Ao se conectar à Internet, o software passa a transmitir informações sobre os hábitos de navegação ou até mesmo senhas do usuário. Geralmente é distribuído com outros programas disponíveis para download como programas freeware (gratuitos) e shareware (com período de uso determinado) Backdoor Definição Literalmente traduzido, "porta dos fundos". São mecanismos introduzidos em um sistema pelos seus próprios responsáveis. Sua função principal é fornecer uma forma de entrada no sistema, que contorne as proteções principais. Apesar de nem sempre elaborados com intenções maliciosas, algumas vezes podem ser deixados acidentalmente, criando grandes problemas para os usuários finais. Phishing Scam Definição E-mail não solicitado que tenta convencer o destinatário a acessar páginas fraudulentas na Internet com o objetivo de capturar informações como senhas de contas bancárias e números de cartões de crédito. Para enganar a vítima, os sites falsos são muito parecidos com as páginas verdadeiras. Phishing Scam Phishing Scam Phishing Scam Phishing Scam Formas de proteção É fundamental ter um programa antivírus e mantê-lo sempre atualizado. A grande maioria dos programas atuais faz isso automaticamente. Para quem utiliza acesso Internet através de banda larga, outro programa fundamental é o firewall. Ele é uma barreira que impede acessos não autorizados ao micro -muitas vezes tentativas de invasão por hackers. Outra ameaça cada vez mais comuns são os scams -e-mails com mensagens com links que levam a sites com vírus e cavalos-de-tróia. Para se proteger, use um programa antispam. Formas de proteção Se alguns e-mails escaparem do programa antispam, vale a regra: nunca clique em links de mensagens de emissário é desconhecido. Não acredite em promoções, brindes, ameaças do Serasa ou do Imposto de Renda. Esses órgãos, assim como os bancos, evitam o envio de e-mails com links, ainda mais para baixar programas. Nunca coloque seus dados em formulários de e-mail. Também é preciso muito cuidado com arquivos anexados em e-mails. Nunca execute programas enviados por desconhecidos. Na dúvida, salve o arquivo em sua área de trabalho (desktop) e mande o antivírus escanear o arquivo. Formas de proteção O mesmo vale para arquivos baixados em programas ponto-a-ponto, como Kazaa, Emule e Soulseek. Sempre use um antivírus para escanear cada arquivo que baixar. Jamais coloque suas senhas em arquivos no micro, como em documentos do Word ou de texto (.txt). São alvos fáceis em caso de invasão do sistema. Evite visitar sites "suspeitos", como de pornografia e de hackers. A maioria desses sites tenta instalar na máquina programinhas como discadores ou cavalos-de-tróia Anti-vírus Um software anti-virus deve monitorar automaticamente todos os arquivos que são abertos no computador. O código de computador que compõe cada um dos arquivos é comparado com as coleções de amostras, comumente chamadas de vacinas, que nada mais são do que acervos com pedaços do código dos virus. Se um arquivo tiver trechos similares aos de um vírus, está contaminado. O software anti-virus tenta restaurar o arquivo original Anti-vírus O software anti-virus não garante que o computador não será infectado. Se o programa não estiver com as vacinas atualizadas, ou se uma praga nova atacar o computador, há grandes possibilidades de que ele seja contaminado. Com a evolução tecnológica a disseminação e variação dos vírus, os softwares anti-virus também evoluiram, para se adequar a diferentes arquiteturas e plataformas operacionais das empresas. Virus O desenvolvimento das vacinas segue o seguinte processo: Após receber uma amostra do vírus (geralmente fornecidas pelos usuários do software anti-virus), os fornecedores do software anti-virus desmontam seu código, usando programas conhecidos como descompiladores. Os descompiladores transformam o virus original, que está escrito num código compreensível apenas para o computador, em código-fonte, possibilitando uma análise mais detalhada. Além de estudar o interior dos virus, os pesquisadores analisam seu comportamento, ativando-os em computadores isolados, conhecidos como “encubadoras”, e observam o resultado. Virus Parte do código dos virus são colocados nas vacinas que são testadas em computadores infectados para comprovar a eficácia das mesmas. Após os testes as vacinas são distribuídas aos usuários.