CÓDIGOS MALICIOSOS (MALWARE) E DE ATAQUE

CÓDIGOS MALICIOSOS (MALWARE) E DE ATAQUE

Vírus: são programas que executam ações não solicitadas e se multiplicam. Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos. Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado. O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo, porém, estas mídias caíram em desuso e começaram a surgir novas maneiras, como o envio de e-mail. Atualmente, as mídias removíveis tornaram-se novamente o principal meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen-drives. Há diferentes tipos de vírus.

·         Disquetes (antigamente);

·         Emails;

·         Pen drive (hoje à principal meio)

Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos, entrando em atividade apenas em datas específicas.

OBS: Um vírus mutante de computador é capaz de assumir múltiplas formas com o intuito de burlar o software do antivírus (BRB – CESPE/2010).

Trojan horse: são programas executáveis usados na invasão (espionagem) de computadores. No Trojan PROGRAMA é executado, ele não precisa de hospedeiro, no vírus há a execução do programa/arquivo hospedeiro. Cavalo de tróia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um ÚNICO ARQUIVO e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas. Ha diferentes tipos de trojans, classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador.

è  Não precisa de um hospedeiro. Trojan é uma categoria de malware e não pode ser considerado um vírus.

Spyware: é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros. Pode ser usado de forma legítima ou maliciosa dependendo de como é instalado, das ações realizadas, do tipo de informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso legítimo ou malicioso.

Legítimo à quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado.

Malicioso à quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo, conta de usuário e senha). Alguns tipos específicos de spyware são:

Adware: programas que secretamente obtêm informações pessoais do computador e as envia para outro computador através da Internet, geralmente para fins de propaganda. Muitas vezes isso é realizado através de coleta de dados referentes ao uso do navegador da Web ou hábitos de navegação. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

Keylogger: copia as teclas digitadas no teclado. Em virtude desse malware, o banco criou o chamado teclado virtual. Capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de comércio eletrônico ou de Internet Banking.

Screenlogger: copia os cliques do mouse e envia para o espião. Similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de Internet Banking.

Ransonware: programa sequestrador de dados (criptografa os dados e deixa o sistema travado) e pede um “resgate”.

Backdoor: abre uma porta dos fundos para o computador espião. Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços criados ou modificados para este fim. Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo. Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na maioria dos casos, sem que seja notado. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, Sub-Seven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados como backdoors. Ha casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas. Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o computador.

Rootkit: é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido. O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:

                  Remover evidências em arquivos de logs;

                  Instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado;

                  Esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc.;

                  Mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;

                  Capturar informações da rede onde o computador comprometido está localizado, pela interceptação de trafego.

Spam: são e-mails não solicitados. É disparado para um grupo grande de pessoas. Transporta uma propaganda e/ou um elemento malicioso. Quando este tipo de mensagem possui conteúdo exclusivamente comercial também é referenciado como UCE (Unsolicited Commercial E-mail). O spam em alguns pontos se assemelha a outras formas de propaganda, como a carta colocada na caixa de correio, o panfleto recebido na esquina e a ligação telefônica ofertando produtos. Porém, o que o difere é justamente o que o torna tão atraente e motivante para quem o envia (spammer): ao passo que nas demais formas o remetente precisa fazer algum tipo de investimento, o spammer necessita investir muito pouco, ou até mesmo nada, para alcançar os mesmos objetivos e em uma escala muito maior.

Hoax: boato espalhado por e-mail, visando ao agregamento (correntes eletrônicas) de novos e-mails a mensagem. Um boato, ou hoax, é uma mensagem que possui conteúdo alarmante ou falso e que, geralmente, tem como remetente, ou aponta como autora, alguma instituição, empresa importante ou órgão governamental. Por meio de uma leitura minuciosa de seu conteúdo, normalmente, é possível identificar informações sem sentido e tentativas de golpes, como correntes e pirâmides. Boatos podem trazer diversos problemas, tanto para aqueles que os recebem e os distribuem, como para aqueles que são citados em seus conteúdos.

Worm: é um programa que cria cópias de si mesmo - por exemplo, de uma unidade para a outra - ou copiando-se usando e-mail ou outro mecanismo de transporte. O Worm pode ser usado para:  atacar sites; enviar spams; abrir portas para novos worms; explorar vulnerabilidades. É um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em computadores. Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

DOS/DDOS: negação de serviço, ou DoS (Denial of Service), é uma técnica pela qual um atacante utiliza um computador para tirar de operação um serviço, um computador ou uma rede conectada à Internet. Quando utilizada de forma coordenada e distribuída, ou seja, quando um conjunto de computadores é utilizado no ataque, recebe o nome de negação de serviço distribuído, ou DDoS (Distributed Denial of Service). O objetivo destes ataques não é invadir e nem coletar informações, mas sim exaurir recursos e causar indisponibilidades ao alvo. Quando isto ocorre, todas as pessoas que dependem dos recursos afetados são prejudicadas, pois ficam impossibilitadas de acessar ou realizar as operações desejadas. Nos casos já registrados de ataques, os alvos ficaram impedidos de oferecer serviços durante o período em que eles ocorreram, mas, ao final, voltaram a operar normalmente, sem que tivesse havido vazamento de informações ou comprometimento de sistemas ou computadores. Uma pessoa pode voluntariamente usar ferramentas e fazer com que seu computador seja utilizado em ataques. A grande maioria dos computadores, porém, participa dos ataques sem o conhecimento de seu dono, por estar infectado e fazendo parte de botnets.

OBS.: Justificativas para o ataque: autoafirmação ou interesse comercial. A simples negação de serviço não é considerado um ataque. Ex.: página tem capacidade de 1000 acessos, e em dado momento são requeridos 1200 acessos, em decorrência disso há negação do serviço. O firewall diminui a possibilidade de ataque.

Bot (robot): é o programa derivado do worm (worm controlado) que é utilizado para ataques de negação de serviço. O computador zumbi é aquele que sofreu um bot (controle externo por terceiro não autorizado). A rede bots (vários computadores infectados por bot) é chamada de botnet. Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores. A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web e redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam. Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Também pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de e-mails e o utiliza para o envio de spam. Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots. Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a controlar, além de usá-la para seus próprios ataques, também pode aluga-la para outras pessoas ou grupos que desejem que uma ação maliciosa específica seja executada. Algumas das ações maliciosas que costumam ser executadas por intermédio de botnets são: ataques de negação de serviço, propagação de códigos maliciosos (inclusive do próprio bot), coleta de informações de um grande número de computadores, envio de spam e camuflagem da identidade do atacante (com o uso de proxies instalados nos zumbis).

Phishing: ou phishing-scam ou phishing/scam, é o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. É um tipo de ataque na Internet que tenta induzir, por meio de e-mail ou sítios maliciosos, os usuários a informarem dados pessoais ou confidenciais (ANEEL – CESPE/2010).

Pharming: é um tipo específico de phishing que envolve a redireção da navegação do usuário para sites falsos, por meio de alterações no serviço de DNS (Domain Name System). Neste caso, ao tentar acessar um site legítimo, o navegador Web é redirecionado, de forma transparente, para uma página falsa. Ou seja, o pharming infecta o DNS, fornecendo um IP falso.

OBS.: Interceptação de tráfego, ou sniffing, é uma técnica que consiste em inspecionar os dados trafegados em redes de computadores, por meio do uso de programas específicos chamados de sniffers. Esta técnica pode ser utilizada de forma: legítima, por administradores de redes, para detectar problemas, analisar desempenho e monitorar atividades maliciosas relativas aos computadores ou redes por eles administrados; ou maliciosa: por atacantes, para capturar informações sensíveis, como senhas, números de cartão de credito e o conteúdo de arquivos confidenciais que estejam trafegando por meio de conexões inseguras, ou seja, sem criptografia.

OBS.: Falsificação de e-mail, ou e-mail spoofing, é uma técnica que consiste em alterar campos do cabeçalho de um e-mail, de forma a aparentar que ele foi enviado de uma determinada origem quando, na verdade, foi enviado de outra. Ataques deste tipo são bastante usados para propagação de códigos maliciosos, envio de spam e em golpes de phishing. Atacantes utilizam-se de endereços de e-mail coletados de computadores infectados para enviar mensagens e tentar fazer com que os seus destinatários acreditem que elas partiram de pessoas conhecidas.
Referência bibliográfica: Apostila Bruno Guilhen - http://brunoguilhen.com.br/