Escolar Documentos
Profissional Documentos
Cultura Documentos
ANLISE DE ANTIVRUS
JHONE FELIX RIBEIRO RA: 1111497 PAULO HENRIQUE SILVA SANTOS RA: 0922396 SRGIO PEREIRA RA: 1116262
SO PAULO 2013
ANLISE DE ANTIVRUS
SO PAULO 2013
ANLISE DE ANTIVRUS
Trabalho de concluso do curso de Gesto da tecnologia da informao do Instituto Sumar de Educao Superior ISES.
Banca examinadora
SO PAULO 2013
RESUMO
O intuito desta monografia apresentar a reao de um computador ao contrair um vrus e, com base em testes, conseguir determinar de qual maneira a mquina reage estes ataques. Utilizaremos computadores com sistemas operacionais semelhantes e com as mesmas configuraes de hardware, tendo em mos vrus e antivrus para realizao dos testes para que assim consigamos tambm trazer a importncia de um antivrus instalado e operante em um micro. Vrios modelos foram escolhidos para demonstramos suas capacidades e relevncias acerca do quesito segurana e procurar o padro ideal para cada necessidade visando apontar qual dos softwares utilizados tm mais eficincia em determinado objetivo ou num organograma projetado.
ABSTRACT
The purpose of this monograph is to present a computer's reaction to contracting a virus and, on a test basis, unable to determine which way the machine will react these attacks. We use computers and similar operating systems with the same hardware configurations, taking into hands viruses and antivirus protection for performing the tests so that also manages to bring the importance of an antivirus installed and running on a PC. Several models have been chosen to demonstrate their capabilities and relevance about the safety issue and seek the ideal for every need in order to point out which of the software are used more efficiently in certain goal or an organization chart designed.
SUMRIO
INTRODUO ............................................................ Error! Bookmark not defined. METODOLOGIA.......................................................... Error! Bookmark not defined. 1. 1.1. 1.2. 1.3. Ambiente de testes .................................. Error! Bookmark not defined. Configurao das mquinas.............. Error! Bookmark not defined. Configurao da rede ........................ Error! Bookmark not defined. Aplicativo de Honeypot ..................... Error! Bookmark not defined.
2. Descrio da execuo dos testes .......................... Error! Bookmark not defined. 3. 4. 5. Coleta de dados....................................... Error! Bookmark not defined. Anomalia .................................................. Error! Bookmark not defined. Anlise de resultados .............................. Error! Bookmark not defined.
CONCLUSO............................................................................................................ 54 REFERNCIAS BIBLIOGRFICAS .......................................................................... 55 DICIONRIO DE TERMOS TCNICOS ..................... Error! Bookmark not defined.
INTRODUO
A realizao deste trabalho vem de forma especifica trazendo tona a realidade do diversos modelos de Antivrus e suas estruturas. Trouxemos como tema uma forma de caracterizar alguns elementos base de segurana que devemos ter em nossas maquinas. Iremos trabalhar com algumas formas de injeo de vrus na inteno de mostrar todo o processo. O grupo aborda o assunto referido por ser um dos temas mais discutidos dentro de uma empresa. Qual a empresa que no quer ser totalmente eficaz e segura contra invasores? Claro que tambm no vamos abordar apenas o tema empresa, pois sabemos que na sociedade moderna, todos desejam estar ilesos aos males que as redes de computadores oferecem a fim de prejudicar outrem. Sabemos que, alm de destruio, roubo de informaes sigilosas, exposio de contedos pessoais e outros males, fica indispensvel atentar-se questo segurana na internet, pois no s as empresas so alvos de ataques, mas sim todas as pessoas que utilizam o recurso tecnolgico compartilhado para que se mantenham sempre atento s famosas pegadinhas que o mundo virtual pode nos trazer. Uma falha na questo segurana pode trazer problemas que por muitas vezes causam um dano enorme seja em uma empresa ou em qualquer outro lugar. Entendemos que se faz necessrio a manuteno, atualizao e uma notria relevncia percepo da engenharia social para cada vez mais inibir aes destrutivas ao computador e, consequentemente fornecer segurana qualificada para um bom uso do computador. Visando que estes computadores mantm-se na eminncia de ataques o tempo todo, uma boa tratativa a configurao do antivrus no que diz respeito varredura e permisso de acesso portas para navegao instantnea limita e esclarece os possveis perigos e ameaas que nos sujeitamos no dia-a-dia da troca de informaes. Essas informaes so para melhoria continua sobre o processo de segurana da informao.
DEFINIO DE METODOLOGIA
1.1 Definio
Trata-se de um conjunto de mtodos e tcnicas para uma determinada resoluo de projeto ou uma tarefa. Ou seja, o caminho percorrido para se chegar a um objetivo. a explicao do tipo de pesquisa, dos instrumentos dos quais sero utilizados (questionrios, entrevistas, entre outros), do tempo previsto, da equipe de pesquisadores e da diviso do trabalho, das formas de tabulao e tratamento dos dados, enfim, de tudo aquilo que se utilizou no trabalho de pesquisa. Metodologia assume o processo de prticas observadas bem de perto e exige que todas as partes envolvidas no trabalho descrevam quais foram s consideraes embasadas em testes para uma melhor descrio da importncia da metodologia para um estudo contnuo.
Metodologia de pesquisa descritiva Ela analisa, observa, registra, classifica e interpreta os fatos pesquisados, sem ter a interferncia. Utiliza e estuda a caracterizao.
Metodologia cientfica Refere-se ao estudo dos pequenos detalhes referentes aos mtodos utilizados para cada rea cientfica especfica.
Metodologia de Ensino
Voltada para o ensino, busca desenvolver e descrever as melhores tcnicas para que haja maior motivao e qualidade no ensino e aprendizagem.
Metodologia indutiva Tem a sua caracterstica baseado por dados particulares, atravs de observao, analisando e registrando os fatos, chega-se a concluso geral ampliando o conhecimento alcanado.
Metodologia dedutiva Caracteriza-se, quando o pesquisador de uma informao geral, atravs das pesquisas, analisando, chega a uma concluso premissas, no gera novo conhecimento, mas chega a pequenas informaes, atravs do raciocnio.
Metodologia analtica Examina e conhece o fenmeno e todo fato particulares para definir as possveis causas e a natureza do problema.
2 CAPTULO
PROBLEMTICA
Foram selecionadas algumas mquinas para serem utilizadas neste trabalho analtico. Segue logo abaixo suas configuraes e os softwares antivrus instalados em cada uma delas.
Maquina 1
Computador: Tipo de Computador Sistema operacional Service Pack S.O. Internet Explorer Nome do Computador Nome do usurio Nome do domnio Data / Hora ACPI x64-based PC Windows 7 Professional Media Service Pack 1 8.0.7601.17514 D-999999-99999 Usuario D-999999-99999 2013-04-25 / 20:56
Placa me: Tipo de processador Nome da Placa Me Chipset da Placa Me Memria do Sistema DIMM1: Kingston Tipo de BIOS Porta de comunicao Porta de comunicao Porta de comunicao DualCore Intel Core 2 Duo E6420 Foxconn i945 Motherboard Intel Lakeport-G i945G 2048 MB(DDR2-800 DDR2 2 GB DDR2-800 DDR2 SDRAM Award (01/03/08) Porta de comunicao (COM1) Porta de comunicao (COM2) Porta de Impressora (LPT1)
9
Monitor: Adaptador grfico Acelerador 3D Monitor Radeon X1550 64-bit ATI Radeon X1550 (RV505) Samsung SyncMaster 550v/750s
Armazenamento: Controladora IDE Controladora IDE Drive de Disquete de Disco rgido Drive ptico Intel(R) 82801G (ICH7 Family) Intel(R) 82801GB/GR/GH Unidade de disquete SAMSUNG HD161HJ ATA 160GB CDDVDW DVDR DVD-RW
Tamanho total
10
11
Maquina 2
Verso Mdulo de Benchmark Homepage EVEREST v4.60.1500/pt 2.3.237.0 http://www.lavalys.com/
Computador: Tipo de Computador Sistema operacional Service Pack S.O. Internet Explorer Nome do Computador Nome do usurio Nome do domnio Data / Hora ACPI x64-based PC Windows 7 Professional Media Service Pack 1 8.0.7601.17514 D-999999-99999 Usuario D-999999-99999 2013-04-25 / 20:56
Placa me: Tipo de processador Nome da Placa Me Chipset da Placa Me Memria do Sistema DIMM1: Kingston Tipo de BIOS Porta de comunicao Porta de comunicao Porta de comunicao DualCore Intel Core 2 Duo E6420 Foxconn i945 Motherboard Intel Lakeport-G i945G 2048 MB(DDR2-800 DDR2 2 GB DDR2-800 DDR2 SDRAM Award (01/03/08) Porta de comunicao (COM1) Porta de comunicao (COM2) Porta de Impressora (LPT1)
Monitor: Adaptador grfico Acelerador 3D Monitor Radeon X1550 64-bit (128 MB) ATI Radeon X1550 (RV505) Samsung SyncMaster 550v/750s
12
Armazenamento: Controladora IDE Controladora IDE Drive de Disquete de 3 1/2 Disco rgido Drive ptico Parties: C: (NTFS) Tamanho total 148.6 GB (130.6 GB livre) 148.6 GB (130.6 GB livre) Intel(R) 82801G (ICH7 Family) Intel(R) 82801GB/GR/GH Unidade de disquete SAMSUNG HD161HJ ATA 160GB CDDVDW DVDR DVD-RW
13
14
Maquina 3
Verso Mdulo de Benchmark Homepage EVEREST v4.60.1500/pt 2.3.237.0 http://www.lavalys.com/
Computador: Tipo de Computador Sistema operacional Service Pack S.O. Internet Explorer Nome do Computador Nome do usurio Nome do domnio Data / Hora ACPI x64-based PC Windows 7 Professional Media Service Pack 1 8.0.7601.17514 D-999999-99999 Usuario D-999999-99999 2013-04-25 / 20:56
Placa me: Tipo de processador Nome da Placa Me Chipset da Placa Me Memria do Sistema DIMM1: Kingston Tipo de BIOS Porta de comunicao Porta de comunicao Porta de comunicao DualCore Intel Core 2 Duo E6420 Foxconn i945 Motherboard Intel Lakeport-G i945G 2048 MB(DDR2-800 DDR2 2 GB DDR2-800 DDR2 SDRAM Award (01/03/08) Porta de comunicao (COM1) Porta de comunicao (COM2) Porta de Impressora (LPT1)
Radeon X1550 64-bit (128 MB) ATI Radeon X1550 (RV505) Samsung SyncMaster 550v/750s
Adaptador de som
Armazenamento: Controladora IDE Controladora IDE Drive de Disquete de 3 1/2 Disco rgido Drive ptico Intel(R) 82801G (ICH7 Family) Intel(R) 82801GB/GR/GH Unidade de disquete SAMSUNG HD161HJ ATA 160GB CDDVDW DVDR DVD-RW
Parties: C: (NTFS) Tamanho total 148.6 GB (130.6 GB livre) 148.6 GB (130.6 GB livre)
16
17
Maquina 4
Verso Mdulo de Benchmark Homepage Computador: Tipo de Computador Sistema operacional Service Pack S.O. Internet Explorer Nome do Computador Nome do usurio Nome do domnio Data / Hora ACPI x64-based PC Windows 7 Professional Media Service Pack 1 8.0.7601.17514 D-999999-99999 Usuario D-999999-99999 2013-04-25 / 20:56 EVEREST v4.60.1500/pt 2.3.237.0 http://www.lavalys.com/
Placa me: Tipo de processador Nome da Placa Me Chipset da Placa Me Memria do Sistema DIMM1: Kingston Tipo de BIOS Porta de comunicao Porta de comunicao Porta de comunicao Monitor: Adaptador grfico Acelerador 3D Monitor Radeon X1550 64-bit (128 MB) ATI Radeon X1550 (RV505) Samsung SyncMaster 550v/750s DualCore Intel Core 2 Duo E6420 Foxconn i945 Motherboard Intel Lakeport-G i945G 2048 MB(DDR2-800 DDR2 2 GB DDR2-800 DDR2 SDRAM Award (01/03/08) Porta de comunicao (COM1) Porta de comunicao (COM2) Porta de Impressora (LPT1)
18
Armazenamento: Controladora IDE Controladora IDE Drive de Disquete de 3 1/2 Disco rgido Drive ptico Intel(R) 82801G (ICH7 Family) Intel(R) 82801GB/GR/GH Unidade de disquete SAMSUNG HD161HJ ATA 160GB CDDVDW DVDR DVD-RW
Parties: C: (NTFS) Tamanho total 148.6 GB (130.6 GB livre) 148.6 GB (130.6 GB livre)
19
20
3 CAPTULO
ANLISE SITUACIONAL
Nesta etapa decretamos a forma ou como realizaremos os testes, tambm especificamos os materiais que vamos utilizar a fim de estressar as maquinas. Como j sabemos quais antivrus vamos utilizar para a defesa, nada mais obvio do que mostrarmos agora as partes que ameaam nossa estrutura montada. Utilizaremos vrus, malware, que como j sabemos um software malicioso que desenvolvido por programadores, por fim um vrus infecta o sistema, faz copias de si mesmo, contamina outras maquinam, sabemos que na a contaminao feita atravs de uma ao dos prprios usurios, onde o mesmo pode ser recebido por um e-mail e ao ser executado ele comea o seu trabalho de contaminao, sabemos que existem varias outras formar de uma maquina ser contaminada com um vrus de computador, pode ser um pen drive, um CD ou at mesmo o prprio sistema operacional quando desatualizado. Malware se limita tambm a um software malicioso que se infiltra no sistema a fim de causar danos, roubar dados sejam elas confidenciais ou no, vrus, trojan horses, spywares consideramos como malware. Sites como Becheck.scanit.be; e um pacote de trojan tambm sero utilizados para realizao de testes. Utilizaremos este cdigo X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-
STANDARD-ANTIVIRUS-TEST-FILE!$H+Hr * se o antivrus estiver corretamente instalado e tambm o site Spycar para realizao de testes no sistema. Alem dessas ferramentas de testes utilizaremos tambm um pacote com 6000 vrus computacionais com o tamanho de 4MB. Vamos verificar o tempo que o antivrus faz a anlise completa na maquina computacional, qual ser o consumo de memria que um fator importante quando se trata do desempenho da maquina, o consumo referente HD e tempo de boot.
21
4 CAPTULO
EXECUO DOS TESTES
Utilizaremos para realizao de testes a ferramenta EICAR, um arquivo de 68 bytes, desenvolvido pelo Instituto Europeu para Pesquisa de Antivrus de Computador. A ferramenta utilizada para realizao de testes a fim de verificar a eficincia dos antivrus, podemos inserir esse arquivo em qualquer editor de texto podendo ser salvo em qualquer formato e nome, logo aps salvarmos o arquivo fazemos uma verificao com o antivrus instalado na maquina esperando que o mesmo faa a deteco da ferramenta EICAR como vrus de computador, quando acusado o mesmo trs a mensagem EICAR The Anti-Virus test file, apenas esta nos confirmando que a parte de deteco de vrus conhecidos est em timas condies de funcionamento. O site spycar que uma das ferramentas utilizadas para teste assim como o EICAR o spycar tambm faz testes precisos porem com diferenas. O spycar um pacote com 16 testes individuais destinados a simular o comportamento de spyware para ver se seu software de segurana detecta e bloqueia a ameaa que na verdade inofensiva ao seu computador pois se trata apenas de simulaes, cada teste realizado separadamente para que possamos ter maior preciso nos resultados. So seis testes diferentes de auto-starts, desde testes diferentes de IE uma alterao de configurao de rede.
22
5. CAPITULO
23
24
6 CAPITULO
ESTATSTICO Detalhes dos teste
Autor Spycar (Intelguardians Labs) Site HTTPS\\spycar.org/Spycar.html Tipo de teste HIPS Tcnicas utilizadas, injeo de DLL, injeo de processos e substituio pais. Sistema operacionais, Windows 9x, Windows millenium, Windows NT, Windows XP e Windows 7.
CurrentVersion\Run -HKLM_RunOnce (http://www.spycar.org/Spycar_files/HKLM_RunOnce.exe) - cria um ficheiro e instalar uma chave de registo para executar em HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once -HKLM_RunOnceEx (http://www.spycar.org/Spycar_files/HKLM_RunOnceEx.exe) - cria um ficheiro e instalar uma chave de registo para executar em
HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx -HKCU_Run (http://www.spycar.org/Spycar_files/HKCU_Run.exe) - cria um ficheiro e instalar uma chave de registo para executar
emHKCU\Software\Microsoft\Windows\CurrentVersion\R un
25
-HKCU_RunOnce (http://www.spycar.org/Spycar_files/HKCU_RunOnce.exe) - cria um ficheiro e instalar uma chave de registo para executar em HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once -HKCU_RunOnceEx (http://www.spycar.org/Spycar_files/HKCU_RunOnceEx.exe) - cria um ficheiro e instalar uma chave de registo para executar em
KillGeneralTab.exe)- remove a sua guia geral em IE Internet Options Screen -AlterHostsFile (http://www.spycar.org/Spycar_files/AlterHostsFile.exe)- cria um entrada no seu host(c:\windows\system32\drivers\etc\hosts)
26
Normalmente, os antivrus no deixam descarregar estes ficheiros ou instalarem se no seu computador. Cdigo (X5O! P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-
ANTIVIRUS-TEST-FILE!$H+H) cole no bloco de notas. Salve o arquivo com o nome de sua escolha e a extenso.com. Por exemplo, salve-o com o nome de teste.com ou virus.com. Se seu antivrus estiver corretamente instalado e configurado, ele dever impedir que voc salve o arquivo ou que o execute depois de salvo. Note que este arquivo no um vrus real, nem serve para testar a eficincia do antivrus que voc usa, mas sim se ele est corretamente instalado e configurado para identificar e barrar arquivos contaminados, ele verifica se apenas se tudo esta em funcionalidade corretamente. Os sites bcheck.scanit.be e grc.com so sites com o mecanismo de testes que so relacionados a segurana. Utilizaremos um pacote com cavalo de tria ou trojan horse um programa malicioso que entra no sistema como se fosse um programa comum, basicamente serve para invaso, mas nada como boas prevenes para imortalizar esses tipos de ataques, devemos tomar cuidados com arquivos executveis, ter um bom antivrus, um firewall e antispyware, ferramentas sempre atualizadas. claro que no podemos de deixar essas
27
28
29
Maquina 1
Antivrus Norton 360 Tamanho setup 157MB Tempo de instalao 63 segundos Tempo de boot sem antivrus varia de 53 a 54 segundos Tempo de boot depois do antivrus instalado 1.11 segundos Varredura do sistema completa 65 minutos Varredura do sistema rpida 2 minutos Pacote trojan ( detectado) Utilizando a linha de comando X5O!P%@AP[4\PZX54(P^)7CC)7}$EICARSTANDARD-ANTIVIRUS-TEST-FILE!$H+H* foi detectado. O site spycar no obteve sucesso, pois o site encontra se removido. Utilizando a ferramenta eycar no obtivemos sucesso, pois o mesmo identificou e removeu na hora o setup Usamos o site http://bcheck.scanit.be/bcheck/ Apresenta erro no site. O tempo de descompactao do pacote com 6000 vrus foi de 10 segundos, quando o trmino de descompactao estava pronto o mesmo deixou na pasta um total de 5919 arquivos, porem ele ativou o auto protection e removeu mais arquivos deixando apenas 2186 arquivos, depois feito a analise na pasta do pacote de vrus detectou mais 7 vrus
30
31
Verso do Antivirus
32
33
34
35
36
Mquina 2
Antivrus Microsoft Security
Tamanho setup 12,8MB Tempo de instalao 63 Segundos Porem o mesmo depois de instalado procura atualizao e essa atualizao demora em torno de 42 minutos. Tempo de boot sem antivrus varia de 53 a 54 segundos Tempo de boot depois do antivrus instalado 1.13 segundos Varredura do sistema completa 86 minutos Varredura do sistema rpida 2,5 minutos Pacote trojan no detectou na hora de extrair os arquivos e ainda deixou realizar a instalao do setup Utilizando a linha de comando
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* foi detectado. O site spycar no obteve sucesso pois o site encontra se removido. Utilizando a ferramenta Eycar no obtivemos sucesso pois o mesmo identificou e removeu na hora o setup. Usamos o site http://bcheck.scanit.be/bcheck/ erro no site. O tempo de descompactao do pacote com 6000 vrus foi de 68
segundos, quando o termino de descompactao estava pronto o mesmo deixou na pasta um total de 4951 arquivos. Foi realizado uma varredura na pasta e o mesmo removeu mais arquivos deixando um total de 1071 arquivos
37
Interface do Antivrus
Verso do software
39
40
41
Maquina 3
Anti Vrus MCAfee Tamanho setup 4,86 MB Instalao demorada, pois a instalao baixa os arquivos online Na hora de fazer a instalao o mesmo te da opo completa e personalizada Optada por personalizada Tempo de instalao 39 minutos e 25 segundos Tempo de boot sem antivrus varia de 53 a 54 segundos Tempo de boot depois do antivrus instalado 1.19 segundos Varredura do sistema completa 36 minutos Varredura do sistema rpida 5 minutos Pacote trojan ( no detectou) Pacote com 6000 vrus sobrou 3384 Varredura na pasta onde se encontrava os 3384 vrus (no detectou nada) Utilizando a linha de comando
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* foi detectado. O site spycar no obteve sucesso, pois o site encontra se removido. Utilizando a ferramenta Eicar no obtivemos sucesso, pois o mesmo identificou e removeu na hora o setup. O tempo de descompactao do pacote com 6000 vrus durou exatamente 68 minutos, pois o mesmo na hora da extrao j identificou os vrus e foi
removendo os mesmos, deixando no final da extrao um total de 3384 arquivos. Foi realizado uma varredura na pasta com o pacote de vrus no removeu mais nenhum arquivo e o mesmo
42
43
44
Bloqueando o Eicar
45
46
Maquina 4
Antivirus Avast Internet Security Tamanho setup 144MB Instalao demorada, pois a instalao baixa os arquivos online Na hora de fazer a instalao o mesmo te da opo completa e personalizada Optada por personalizada Tempo de instalao 4,3 minutos O nico que solicita a reinicializaro. Tempo de boot sem antivrus varia de 53 a 54 segundos Tempo de boot depois do antivrus instalado 1.28 segundos Varredura do sistema completa 17,31minutos Varredura do sistema rpida 8 minutos Pacote trojan detectou depois de ter comeado a instalao Utilizando a linha de comando
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TESTFILE!$H+H* foi detectado. O site spycar no obteve sucesso, pois o site encontra se removido. Utilizando a ferramenta Eicar no obtivemos sucesso, pois o mesmo identificou e removeu na hora o setup. O tempo de descompactao do pacote com 6000 vrus durou exatamente 25 minutos, pois o mesmo na hora da extrao j identificou os vrus e foi
removendo os mesmos, deixando no final da extrao um total de 286 arquivos. Foi realizado uma varredura na pasta com o pacote de vrus e o mesmo encontrou mais 1 arquivo.
47
48
Lista de trojan
49
50
ANOMALIA
52
ANALISE DE RESULTADOS
53
CONCLUSO
54
REFERNCIAS BIBLIOGRFICAS
55
56