Sistemas de prevenção e segurança

Até pouco tempo atrás, os usuários só se preocupavam com o ataque de vírus, mas nos dias de hoje a
preocupação aumentou, pois além dos vírus existem outros meios de ataque contra computadores
isoladamente e também contra redes de computadores. Tais ataques levam o usuário a se prevenir,
instalando softwares antivírus, antiespiões e antiacessos indesejados.

Vírus

O que é um vírus?

Um vírus é um programa ou trecho de código que se instala num computador sem o conhecimento do
usuário. Os tipos mais perigosos podem até apagar todas as informações do disco, enquanto outros
apenas residem na memória sem fazer muito estrago. Os vírus somente existem em arquivos que
dependem de execução. Assim, arquivos de imagem (.gif., .jpg, .psd, .bmp etc), som (.wav, .ra, .au etc),
vídeo (.avi, .mov, .rm etc) e texto puro (.txt) não contêm vírus de nenhuma espécie. A exceção fica por
conta dos falsos documentos de imagem e som, como aqueles criados pelo Love Letter. Os arquivos
afetados por este vírus ficam com o formato foto.jpg.vbs.

Está cada vez mais difícil enquadrar os vírus mais modernos dentro de alguma definição clássica, mas,
de modo geral, os vírus se dividem em três classes.

Vírus de boot - Alojam-se no setor de boot de disquetes e no Master Boot Record (MBR) do disco rígido.
Estas áreas são sempre checadas antes da execução de cada programa, o que facilita a propagação
dos vírus deste tipo.

A única maneira de contaminação por um vírus de boot é ligar o micro com um disquete infectado no
drive. Dessa forma, o sistema operacional checará primeiro o drive do disquete, o que já é suficiente
para que o vírus seja ativado. O vírus então passa para o MBR do disco rígido e qualquer disquete
utilizado a partir deste momento também é infectado. Com a extinção do velho DOS, os vírus de boot
perderam muito de sua força e raramente trazem maiores problemas.

Vírus de macro - São cada vez mais comuns e, de maneira geral, pouco perigosos. Os vírus de macro
são na verdade códigos de macro inseridos em arquivos de aplicativos que utilizam esta linguagem.
Entre os programas mais atingidos estão Word, Excel e Access. Ao abrir um arquivo contaminado de
Word, por exemplo, o vírus é ativado e se instala no arquivo modelo (normal.dot), de onde se espalha
para todos os arquivos criados a partir de então.

Vírus de programa - Normalmente utilizam extensões executáveis como .com, .exe e .bat e são ativados
somente com um comando do usuário. Muitos deles são enviados junto com e-mails, portanto uma boa
dica de segurança é executar somente arquivos recebidos de fontes confiáveis. Se receber uma
mensagem com algum arquivo suspeito, basta deletá-la para resolver o problema, pois dessa forma o
vírus não será executado.

Retrovírus - São vírus que tem como alvo antivírus, como o Scan, Clean, CPAV NAV, ou qualquer
arquivo que contenha as strings AV, AN, SC, etc... no nome. Pode ser o objetivo principal ou paralelo.

Malware

É um termo geral normalmente aplicado ao nos referir-mos a qualquer software desenvolvido para ca
causar danos em computadores, servidores ou redes de computador, e isso independentemente de o In
software ser um vírus, um spyware, etc áti
fo
m
Portanto qualquer software, por exemplo um trojan, ou mesmo um worm, etc são denominados de r
"malware", o que informa que esses são software que causam MAL a um equipamento, software ou
r
arquivo de dados de um usuário. mfo
áti
In
Obviamente temos que sempre levar em conta os reais níveis de criticidade e risco a segurança causado ca
por cada um dos grupos de malware. Com certeza um Spyware é muito menos perigoso (e seus
fabricantes alegam que não levam nenhum risco!) que um vírus, trojan ou worm.

1
Banrisul - 2009
 WORMS

Além destes quatro grupos clássicos, temos alguns termos mais recentes, criados para designar os vírus
destes novos tempos de Internet. Apesar de não serem considerados vírus, os worms são uma ameaça
cada vez maior, principalmente devido à expansão da Internet.

Assim como os vírus, os worms se reproduzem e podem causar danos ao micro infectado. A diferença é
que um worm não produz diversas cópias de si num único micro. Em vez disso, ele se multiplica através
de redes de computadores. Em alguns casos, como o Melissa, temos um vírus de macro que também é
um worm, pois utiliza o Outlook Express para enviar cópias de si para outros usuários.

Boa parte dos worms tem como único efeito sobrecarregar os servidores de e-mail, pois anexam-se
automaticamente à lista de endereços do micro infectado e enviam múltiplas mensagens a todos os
destinatários.

TROJANS

Outra ameaça aos computadores vem na forma dos famosos Cavalos de Tróia (trojan horses), como
NetBus e Back Orifice. Estes programas podem enviar dados confidenciais do usuário infectado para os
autores da praga e até mesmo permitir total controle sobre o micro contaminado, desde que ele esteja
conectado à mesma rede do computador de onde os comandos são enviados. Embora seja possível ser
infectado com um vírus desse tipo a partir de um disquete, somente com o micro conectado em rede ele
pode causar algum estrago.

Para se proteger contra essas ameaças, a saída mais eficiente é utilizar um dos diversos antivírus
disponíveis no mercado. Embora não sejam 100% eficientes (afinal, não dá para adivinhar o que se
passa na cabeça de todos os programadores do mundo), esses programas garantem uma boa dose de
segurança.

Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são:
• Instalação de Keyloggers ou screenloggers;
• Furto de senhas e outras informações sensíveis, como número de cartões de créditos;
• Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;
• Alteração ou destruição de arquivos
Normalmente um cavalo de tróia consiste em um único arquivo que necessita ser explicitamente
executado.
KEYLOGGERS
• Keyloggers é um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no
teclado do computador. Em muitos casos, a ativação do keylogger é condicionada a uma ação
prévia do usuário, como por exemplo, após o acesso a um site específico de comércio eletrônico
ou Internet Banking
SCREENLOGGERS
• Armazena a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse
é clicado, ou armazena a região que circunda a posição onde o mouse é clicado
BACKDOORS
In • Normalmente um atacante procura garantir uma forma de retornar a um computador
fo comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. Na
maioria dos casos, também é intenção do atacante poder retornar ao computador comprometido
r sem ser notado A esses programas que permitem o retorno de um invasor a um computador
m comprometido, utilizando os serviços criados ou modificados para este fim, dá-se o nome de
backdoor .
áti
ca

2
Banrisul - 2009
 • A forma usual de inclusão de um backdoor consiste na disponibilizacão de um novo serviço ou
substituição de um determinado serviço por uma versão alterada, normalmente possuindo
recursos que permitam acesso remoto.

Spyware

Consiste num programa automático de computador, que recolhe informações sobre o usuário, sobre os
seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o seu
conhecimento nem o seu consentimento.

Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja
manipulado, por uma entidade externa, por um cracker.

Os spywares podem ser desenvolvidos por firmas comerciais, que desejam monitorar o hábito dos
usuários para avaliar seus costumes e vender este dados pela internet. Desta forma, estas firmas
costumam produzir inúmeras variantes de seus programas-espiões, aperfeiçoando-o, dificultando em
muito a sua remoção.

Por outro lado, muitos vírus transportam spywares, que visam roubar certos dados confidenciais dos
usuários. Roubam logins bancários, montam e enviam logs das atividades do usuário, roubam
determinados arquivos ou outros documentos pessoais.

Com freqüência, os spyware costumavam vir legalmente embutidos em algum programa que fosse
shareware ou freeware. Sua remoção era por vezes, feita quando da compra do software ou de uma
versão mais completa e paga.

Adwares

Muitas vezes usa-se de forma genérica o termo spyware para os malware e adwares, que são
programas indesejáveis. Costuma-se incluir os adwares no estudo dos spywares, pois assemelham-se
na sua forma de infecção e na sua forma de desinstalação. Seriam como se fossem um sub-grupo dos
spywares.

Os adwares são conhecidos por trazerem para a tela do usuário algum tipo de propaganda.

Como geralmente são firmas comerciais que os desenvolvem, é comum os adwares virem embutidos em
diversos programas livre download (freeware), com a autorização de seus autores.

O Kazaa oficial é um programa de compartilhamento de arquivos, sendo um exemplo do casamento de

um software gratuito com adwares, pois estes lhe proporcionam uma fonte de renda.

Inicialmente os adwares procuravam exibir propagandas em janelas, chamados de banners, pequenas

janelas de propagandas, embutidas em softwares de terceiros. Caso o usuário gostasse deste software,
poderia adquirir uma versão mais avançada, paga, livre destas propagandas.

Posteriormente os adwares passaram a monitorar a atividade do usuário na internet, podendo desta

forma mostrar propagandas personalizadas, além de enviar dados sobre hábitos do usuário a certos
sites, tendo então funções de spyware e adware, de forma simultânea.
ca
Mais adiante certos adwares passaram a exibir janela do tipo pop-up, pequena janela de propaganda In
áti
solta pela tela, em vez de banners. fo
m
Um pouco mais a frente os adwares passaram a se instalar no navegador do usuário, acrescentando
rr
certas funcionalidades duvidosas, principalmente no Internet Explorer. Avanços (ou upgrade) no Internet mfo
Explorer, passaram a exigir o consentimento do usuário para a sua instalação. áti
In
Porém com o passar do tempo, os adwares sofisticaram-se, incluindo propagandas persistentes, com
ca
inúmeras variantes, onde a sua desinstalação passou a ser um tarefa bastante penosa ou mesmo
impossível, sem uma ajuda externa. A insistência no aparecimento das propagandas e sua difícil
3
Banrisul - 2009
 desinstalação, levaram os usuários a classificá-los como pragas ou spywares e não mais como simples
adwares.

Certos adwares passaram a ser instalados no Internet Explorer, quando o usuário navegava em sites
maliciosos.

Os adwares se sofisticaram, tornaram-se pragas. Produzem alterações no registro do Windows e depois

somem ou se escondem para garantir que as alterações não sejam desfeitas, exigindo então não mais a
ação de um antivírus ou de um simples anti-trojan, mas sim de um programa específico de conserto do
registro.

Por vezes os adwares exibem propagandas pornográficas, falsas propagandas de infecção do sistema
por vírus, falsa propaganda de venda de produtos e passaram também a causar instabilidade no
sistema, principalmente no navegador.

Suspeita-se que possam tornar o sistema do usuário aberto a ação de crackers, devido a falta de
maiores cuidados na elaboração dos adwares.

Ransomware

Os Ransomwares são softwares maliciosos que, ao infectarem um computador, criptografam todo ou

parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima, um pagamento pelo
"resgate" dos dados. Ransonwares são ferramentas para crimes de extorsão e são extremamente
ilegais. Nomes de alguns Ransomwares conhecidos: Gpcode-B e PGPCoder

O que é um rootkit?

Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando

diversas técnicas avançadas de programação.

Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que você não
possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre
erros de “arquivo inexistente” ao tentar acessar os arquivos do trojan.

Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com
sucesso: os rootkits mais avançados são bem difíceis de serem removidos.

Origem do nome rootkit

Os rootkits possuem esse nome por serem, inicialmente, “kits” de programas para a plataforma
Linux/Unix para manter o acesso total ao sistema previamente comprometido, agindo como backdoor.
Como “root” é o usuário com o controle total do computador nas plataformas Unix, originou-se o nome
“rootkit” para denominar estes conjuntos de aplicativos.

Funcionamento

Os rootkits para Linux/Unix geralmente substituem os programas mais comuns, como os programas que
listam arquivos, de modo que o administrador do sistema, ao listar os arquivos, não veja a presença dos
arquivos do trojan.
In
No Windows, eles ‘infectam’ os processos na memória, de modo que toda vez que um processo requisite
fo alguma informação sobre os arquivos do trojan, esta informação seja anulada antes de ser retornada ao
r programa, o que fará com que os softwares acreditem que estes arquivos não estejam lá.
m
Bots e Botnets
áti
ca De modo similar ao worm, o bot é um programa capaz se propagar automaticamente, explorando
vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador.

4
Banrisul - 2009
 Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot
seja controlado remotamente.

Como o invasor se comunica com o bot?

Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala)
determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo
enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo
canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo
bot. Estas seqüências de caracteres correspondem a instruções que devem ser executadas pelo bot.

O que o invasor pode fazer quando estiver no controle de um bot?

Um invasor, ao se comunicar com um bot, pode enviar instruções para que ele realize diversas
atividades, tais como:

• desferir ataques na Internet;

• executar um ataque de negação de serviço (detalhes na Parte I: Conceitos de Segurança);
• furtar dados do computador onde está sendo executado, como por exemplo números de cartões de
crédito;
• enviar e-mails de phishing;
• enviar spam.

O que são botnets?

Botnets são redes formadas por computadores infectados com bots. Estas redes podem ser compostas
por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode
utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar centenas de milhares de
e-mails de phishing ou spam, desferir ataques de negação de serviço, etc.

Como posso saber se um bot foi instalado em um computador?

Identificar a presença de um bot em um computador não é uma tarefa simples. Normalmente, o bot é
projetado para realizar as instruções passadas pelo invasor sem que o usuário tenha conhecimento.

Embora alguns programas antivírus permitam detectar a presença de bots, isto nem sempre é possível.
Portanto, o melhor é procurar evitar que um bot seja instalado em seu computador.

Como posso proteger um computador dos bots?

Da mesma forma que o worm, o bot é capaz de se propagar automaticamente, através da exploração de
vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador.

Portanto, a melhor forma de se proteger dos bots é manter o sistema operacional e os softwares
instalados em seu computador sempre atualizados e com todas as correções de segurança (patches)
disponíveis aplicadas, para evitar que possuam vulnerabilidades.

A utilização de um bom antivírus, mantendo-o sempre atualizado, também é importante, pois em muitos ca
casos permite detectar e até mesmo evitar a propagação de um bot. Vale lembrar que o antivírus só será In
capaz de detectar bots conhecidos. áti
fo
m
Outra medida preventiva consiste em utilizar um firewall pessoal7. Normalmente, os firewalls pessoais rr
não eliminam os bots, mas, se bem configurados, podem ser úteis para amenizar o problema, pois m
podem barrar a comunicação entre o invasor e o bot instalado em um computador. fo
áti
In
Podem existir outras formas de propagação e instalação de bots em um computador, como por exemplo, ca
através da execução de arquivos anexados a e-mails.

5
Banrisul - 2009
 Comite Gestor de Internet do Brasil - Cartilha de Segurança para a Internet – Parte VIII – Códigos
Maliciosos.

O que são SPANS: são e-mails enviados sem autorização. Geralmente usados em: propagandas,
correntes de fé, falsas ideologias, ajuda a outrem, etc.

Hoaxes
São boatos espalhados por e-mail, que servem para assustar o usuário de computador. Uma mensagem
no e-mail alerta para um novo vírus totalmente destrutivo, nunca visto anteriormente, que está
circulando na rede e que infectará o microcomputador do destinatário enquanto a mensagem estiver
sendo lida ou quando o usuário clicar em determinada tecla ou link. Quem cria a mensagem hoax
normalmente costuma dizer que a informação partiu de uma empresa confiável, como IBM e Microsoft, e
que tal vírus poderá danificar a máquina do usuário. Desconsidere a mensagem.

e-mail
Não existem vírus de e-mail. O que existem são vírus escondidos em arquivos anexados ao corpo do e-
mail. Você não infecta seu computador só de ler uma mensagem de correio eletrônico escrita em formato
texto (txt). Mas evite sair abrindo arquivos anexados sem antes se certificar de que eles estão livres de
vírus. Salve-os em uma pasta no seu disco (HD) e passe um programa antivírus atualizado. Só depois
abra o arquivo.

Firewall
Sistema ativo de segurança que visa proteger computadores e redes de computadores contra investidas
estruturadas. Ele impede que pessoas mal intencionadas consigam explorar brechas e vulnerabilidades
com o objetivo de penetrar no sistema com objetivos escusos.
O objetivo original do firewall era isolar a rede interna da Internet, por completo. Como a Internet é uma
rede que respira TCP/IP, não existe melhor forma de fazer isso do que “escutar” todo o tráfego TCP/IP
endereçado para a uma rede interna, proveniente da Internet, e todo o tráfego para a Internet,
proveniente da rede interna.
O objetivo dessas “escutas” era de filtrar o que era permitido do que não era. Como regra geral,
praticamente tudo era proibido e, aos poucos, eram criadas regras permitindo a passagem do tráfego
essencial.
Um firewall é, na realidade, um poderoso roteador interligando duas redes e possui, pelo menos, duas
placas de rede. Em uma ponta sempre temos a rede pública, ou insegura e, na outra, sempre temos a
rede privada, ou segura.
O firewall funciona analisando os cabeçalhos dos pacotes IP que passam através dele, com origem ou
destino a uma das redes à qual ele quer proteger. Ao analisar o cabeçalho dos pacotes, o firewall
consegue saber os protocolos usados e as portas de origem e destino do pacote. Como informação
adicional, o firewall pode ainda analisar os endereços IP de origem e destino. Depois disso, ele faz uma
comparação em uma tabela de regras, analisando se o pacote pode prosseguir ou não. No caso de o
pacote estar permitido, o firewall passa a agir como um roteador normal. No caso de o pacote não se
enquadrar em nenhuma regra, o firewall pode tomar duas decisões: recusar o recebimento do pacote ou
descartá-lo.
Quando um pacote é recusado, existe uma comunicação entre o firewall e o remetente do pacote,
informando que a conexão foi cortada. No caso de um pacote descartado, essa comunicação não existe
e o firewall simplesmente ignora qualquer comunicação vinda do remetente do pacote, fazendo parecer
que o pacote simplesmente se perdeu.

In
fo
r
m
áti
ca

6
Banrisul - 2009