Escolar Documentos
Profissional Documentos
Cultura Documentos
Cuiabá
2009.
2
Cuiabá
2009
3
BANCA EXAMINADORA
__________________________________________
Prof. André Couto Valente
Unirondon Centro Universitário
__________________________________________
Prof. Andersown Becher Paes de Barros
Unirondon Centro Universitário
__________________________________________
Prof. Reginaldo Hugo Szezupior dos Santos
Unirondon Centro Universitário
4
Proverbios 22:11
7
RESUMO
ABSTRACT
LISTA DE ILUSTRAÇÕES
SUMÁRIO
Introdução ................................................................................................................ 11
1 Os vírus de computador .................................................................................... 13
1.1 A tecnologia ................................................................................................................ 13
1.1.1 Perigos da tecnologia ................................................................................................................... 14
1.2 O que é um vírus? ...................................................................................................... 15
1.2.1 História dos Vírus ......................................................................................................................... 15
1.2.2 Tipos de vírus ............................................................................................................................... 19
1.2.3 Estatísticas de vírus ..................................................................................................................... 19
1.2.4 Vírus a ser estudado .................................................................................................................... 21
2 O Conficker ..................................................................................................... 22
2.1 Caracteristicas ............................................................................................................ 23
2.1.1 Diretórios ...................................................................................................................................... 26
2.1.2 Contaminação do registro ............................................................................................................ 27
2.1.3 Infecção USB ............................................................................................................................... 30
2.1.4 Infecção via internet ..................................................................................................................... 31
2.1.5 Sintomas da infecção da rede ...................................................................................................... 34
2.1.6 Ativação do agendador de tarefas ............................................................................................... 40
2.1.7 Infecção via P2P .......................................................................................................................... 42
2.2 Remoção e prevenção................................................................................................ 44
2.2.1 Atualização Crítica ....................................................................................................................... 48
2.2.2 Firewall ......................................................................................................................................... 54
2.2.3 Administradores de rede .............................................................................................................. 58
2.2.4 Prevenções gerais........................................................................................................................ 61
Considerações finais .............................................................................................. 63
Referências bibliográficas...................................................................................... 65
11
INTRODUÇÃO
Considerando que os computadores das redes mundiais não estão 100% segu-
ros, necessitam de uma segurança muito maior por necessidade dos usuários não
se darem conta das vulnerabilidades que se encontram nos sistemas que estão u-
sando. Usuários dos computadores guardam arquivos importantes, digitam senhas
de diversos tipos, como senhas de emails, sistemas para acesso restrito, comunida-
des, acessam bancos e dentro outras informações preciosas, estando assim cor-
rendo vários perigos como perda de dados, roubo de dados, lentidão nos sistemas e
o corrompimento das informações; através deste estudo, irei conceder uma maior
segurança de informação dos dados e dos sistemas, protegendo conforme concep-
ções apresentadas por nossos testes, com vírus mais atual e famoso desta época,
dissecando-o e mostrado suas formas de atuações, seu código fonte e o bloqueio
destes vírus. Com estes dados pode-se elaborar um estudo detalhado, produzindo
estatísticas de vírus e suas variantes.
sistemas atualizados estão muito mais seguros do que sistemas que não atualizam
ou corrigem suas falhas.
1 OS VÍRUS DE COMPUTADOR
1.1 A tecnologia
Para Orrico (2004) as tecnologias estão se multiplicando muito rápido, mas al-
gumas destas são desenvolvidas não para nos auxiliar na melhoria, mas sim muitas
vezes são ameaçadoras o suficiente e poderosa para a destruição. Estes são co-
nhecidas como vírus de computador.
O autor ainda faz uma afirmação que somente as pessoas com conhecimen-
to avançado de programação criavam vírus, devido ao nível de linguagem de que
era requisitado e uma abrangência de conhecimento do programador que estava em
questão. Hoje é bem diferente, pois já existem vários programas que criam vírus ao
gosto dos usuários, e também empresas fictícias que cobram um serviço por deter-
minação do cliente, a exemplo de um roubo de banco de dados.
14
Os problemas que estão cada vez mais recorrentes nas pessoas que desfrutam
do uso dos computadores é a falta de segurança, a tecnologia está tomando mais e
mais espaço na vida de cada um. A cada dia o número de ações maliciosas e en-
ganadoras aumenta, sem muitas vezes nos dar-se conta que existem espiões den-
tro de nossos computadores, como Hackers, crackers e outros que estão tentando
ganhar acesso aos nossos dados, utilizando-os em seu proveito e nos causando
problemas. Para aqueles que vão, além disto, pode-se dizer que nossas vidas fa-
zem parte de um Big Brother, sendo verificadas em todos os dias por Hackers, que
desenvolveram vírus que capturam todos os nossos dados (ROHR, 2009).
Hoje, para cada medida de defesa há uma infinidade de ataques que ao menos
nunca ainda nunca se viu ou se tem pouco conhecimento. E tanto é assim que as
empresas dedicadas à segurança estão sempre um passo atrás de quem, do outro
lado, cuida do desenvolvimento deste tipo de ação, seja em relação a vírus ou a ou-
tros programas mal intencionados, a sempre uma mente brilhante trabalhando para
a destruição de informações, procurando sempre uma brecha para entrar (ROHR,
2009).
15
De acordo com Orrico (2004, p. 51) os códigos maliciosos são gerados como
executáveis tanto em pendrivers, browsers e nos sistemas operacionais, podem ser
replicados e executados. Depois de executados ficam na memória, procurando to-
das as unidades disponíveis tanto no computador, na rede ou internet para ser repli-
cados e executados pelas possíveis vítimas.
1
MICROSOFT. O que são vírus, worms e cavalos de Tróia?. Disponível em:
<http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso em 2 dez. 2009.
16
Como se sabe que existe uma grande variedade de pragas virtuais (pode-se
chama-lo de praga, pois depois da contaminação o computador dificilmente se tor-
nar o mesmo, devido a modificações dos ficheiros, e a dificuldade de restauração
dos ficheiros). A definição do que a praga é ou não é depende de suas ações e for-
mas de contaminação e proliferação. Mesmo havendo essa diferenciação, é comum
dar o nome dos programas maliciosos ou vírus ser generalizados todos os tipos de
pragas (ULBRICH; DELLA VALLE, 2005).
Segundo Ulbrich e Della Valle (2005, p.19) a figura abaixo mostra o cresci-
mento dos últimos anos, devido os Hackers não buscam mais a fama e destruição,
mas sim agora eles buscam a riqueza encontrada nos bits como exemplo as senhas
de banco, email, sistemas e as informações confidenciais.
20
Para Framingham (2009) Conficker é tão interessante que foi programado para
se ativar em um dia, para começar a se comunicar com seu criador que será no dia
1 de abril, para se ter uma noção do tanto que é difícil descobrir seu criador, o Con-
ficker gera em torno de cinqüenta mil domínios aleatórios sendo que alguns é o ver-
dadeiro domínio que ele se comunicado recebendo os comandos do seu criador e
assim fazendo seus ataques e baixando mais vírus para os computadores, sendo
assim com essa grande variedade de domínios as grandes operadoras de internet
do mundo fica quase impossível rastrearem sua comunicação e mais interessante é
que muitos continuaram sendo infectados se não fizerem suas atualizações do Win-
dows Update, para muitos fazerem estas atualizações necessita de ter o software
original, que no caso do Brasil a uma grande escala de software pirata e não são
originais.
22
2 O CONFICKER
Na análise feita pela SRI Internacional (2008) encontrou-se que os dois WORMs
são comparáveis no tamanho e o tamanho do Conficker A e B são de 1M e 3M
hosts, respectivamente. O número que a mídia anda retratando é bem provável que
esteja certíssima. Meados de 2008 têm se visto Hacker se aproveitarem destas bre-
chas e oferecerem ferramentas que apresentavam a remoção do vírus Conficker
que na verdade era ferramenta para abrirem o computador para ser mais hospedei-
ros de vírus (PORRAS, et. al. 2009).
2
RPC é uma tecnologia popular para programar-la do modelo cliente-servidor de computação distribuída. Uma chamada
de procedimento remoto é iniciada pelo cliente enviando uma mensagem para um servidor remoto para executar um pro-
cedimento específico. Uma resposta é retornada ao cliente.
23
lha pode afetar sistemas como firewalls ativados, que operam com impressões e
compartilhamento de arquivo na rede. O patch, foi liberado pela Microsoft em 23 de
outubro. Não obstante, quase um mês mais tarde, no meado de Novembro, o Con-
ficker utiliza esta mesma falha corrigida pela Microsoft para fazer uma varredura no
mundo inteiro e contaminar milhões de computadores (PORRAS, et. al. 2009).
2.1 Caracteristicas
Como pode-se ver na figura acima esta tela sempre aparece quando colocamos
o nosso pen driver no computador ou notebook, caso o autorun esteja infectado.
25
3
MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em:
<http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>. Acesso em 2 dez. 2009.
26
2.1.1 Diretórios
%Sysdir%\[Random].dll
%System%\<random filename>.dll
%Temp%\<random filename>.dll
Logo após salvar seu arquivo aleatório o Conficker executa o arquivo que está
localizado na pasta do sistema. Exemplo: % System% \ svchost.exe-k netsvcs
(GUDGION, 2009).
Figura 7 svchost.exe
Fonte: www.raymond.cc/images/what-is-svchost.png
O serviço svchost.exe (Generic Host Process for Win32 Services) que aparece
acima, foi criado junto com o Windows 2000, é um serviço do sistema operacional
que prove para o computador acesso a internet, nele estão às configurações do
30
DNS. Por isso o Conficker o usa para poder se espalhar através das redes (MI-
4
CROSOFT, 2009) .
Segundo Gudgion (2009, p.21) nas mídias removíveis o Malware salva uma có-
pia sua de forma oculta dentro da unidade, aonde se encontra a pasta RECYLER.
Um exemplo: “G:\RECYCLER\S-5-3-42-2819952290-82S7834874384383488-
898342759328749437992375\JWGKVSQ.VMX”.
4
MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edition. Disponível em:
<http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2 dez. 2009.
31
As últimas variantes do Conficker são conhecidas por gerar cinqüenta mil nomes
de domínios, usando seu próprio algoritmo. Abaixo você poderá ver a imagem do
seu código fonte (PORRAS, et. al. 2009).
33
Este código tem a possibilidade de gerar 116 domínios diferentes, como exem-
plo de: com.uy, com.ua, com.tw, com.tt, com.tr, com.sv, com.py, com.pt, com.pr,
com.pe, com.br entre outros (PORRAS, et. al. 2009).
hxxp: / www.getmyip.org /
hxxp: / getmyip.co.uk /
hxxp: / checkip.dyndns.org /
hxxp: / whatsmyipaddress.com /
Abrindo a opção Windows Defender ele nos motra que foi desativado também
como na imagem abaixo (GUDGION, 2009).
39
5
MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: <http://technet.microsoft.com/pt-
br/library/cc721871%28WS.10%29.aspx>. Acesso em 2 dez. 2009.
40
6
MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-
BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.
41
Malware>. Dll, <parâmetros Malware>" para ativar a cópia, como mostrado na figura
19 (PORRAS, et. al. 2009).
Abrindo uma tarefa agendada e quando observardo, o vírus usa a DLL run-
dll32.exe. O Rundll32.exe permite que DLL's sejam executados como executáveis
pelo sistema. Uma DLL é uma "Biblioteca" ou "extensão de arquivo ou arquivos",
com instruções para execução de uma determinada tarefa. Uma DLL pode ser usa-
da por um ou mais programas, pois pode conter instruções em comum para mais de
um programa ou arquivo. O Rundll32.exe geralmente vem desabilitado no sistema,
mas um aplicativo pode ativá-lo para rodar alguma DLL (próprio do programa, de
outro programa ou do sistema), como se fosse executável (PORRAS, et. al. 2009).
42
O seguinte Registro entradas é criado pela rotina P2P para armazenar seu es-
tado interno (GUDGION, 2009).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows HKEY_LOCAL_MACHINE \
SOFTWARE \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-
%d}\%string% \ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%
HKEY_CURRENT_USER\Software\Microsoft\Windows HKEY_CURRENT_USER \
Software \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-%d}\%string%
\ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%
Para que o Conficker possa se propagar na rede de computadores por P2P, ele
lança uma regra de exceção na configuração do Firewall do Windows para que as
portas TCP e UDP utilizadas pelo código malicioso como na imagem abaixo (GUD-
GION, 2009).
A janela de autorun que aparece contém uma pasta "falsa Abrir para visualizar
arquivos de entrada" que executa o vírus ao invés de abrir uma pasta para exibir
seus arquivos. Se você clicar nesta opção autorun falso, o vírus é executado de
forma livre e sem restrições. Conficker então cade vez mais se transformando em
diferentes padrões para evitar a detecção de antivírus para infectar todo o seu
mquina e a rede local. Porque ele se transforma seu código de forma aleatória, tra-
dicionalmente a detecção baseada em assinaturas que atualmente utiliza software
antivírus faz a detecção quase impossível. Quando você conecta um drive USB ex-
terno, Conficker usa uma engenharia social "truque para enganá-lo em execução o
vírus e infectar o computador. Basicamente, Conficker modifica a maneira como o
Windows "autorun" funciona quando você conecta um drive USB externo. As duas
telas abaixo mostram como a janela do autorun quando você conectar um dispositi-
vo USB (GUDGION, 2009).
45
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Na caixa Dados de valor, digite 4, clique em Hexadecimal (se não estiver sele-
cionado) e em OK.
7
MICROSOFT. Windows Update. Disponível em:
<http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/windowsupdate.mspx>. Acesso em 9
ago. 2009.
49
Figura 28 Avast
Fonte: arquivo/Autor/2009
No AVG, para atualizar, clique com o botão direito sobre o ícone da área de noti-
ficação perto do relógio do Windows.
Figura 29 AVG
Fonte: arquivo/Autor/2009
Para fazer a atualização do Avira pode ser feita na própria tela do programa, se-
lecionado a opção "Start update".
52
Figura 30 AVIRA
Fonte: arquivo/Autor/2009
Para atualizar o NOD32, clique em Update e logo após clique em Update vírus
signature database:
Figura 32 NOD32
Fonte: arquivo/Autor/2009
2.2.2 Firewall
O Nmap é um portscan de uso geral, que pode ser usado, sempre que você
precisar verificar rapidamente as portas abertas em determinado host, seja na
sua rede local, seja na Internet (INFOHELP, 2009).
Para o usuário comum é difícil usar esta ferramenta na rede, pois necessita
da instalação de um sistema livre na máquina e a instalar do software via apt get
no terminal (INFOHELP, 2009).
59
Veja a imagem abaixo, mostra que o vírus aplicou o seu próprio patch ->
MS08-067: PATCHED ( possibly by Conficker) (INFOHELP, 2009).
Figura 37 Vulnerable
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapvulnerable.gif
61
Figura 38 Fixed
Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmappatched.gif
quete, memória flash, câmera digital. A princípio não se precisa clicar em nada, o
fato de o computador tentar abri-lo já é possível de contaminação (CERT.BR, 2009).
CONSIDERAÇÕES FINAIS
Com este presente estudo viso contribuir com novas pesquisas relacionada
na promoção e prevenção de segurança dos Sistemas Operacionais e o bom fun-
cionamento da rede, a partir de informações extraídas desta pesquisa onde descre-
ve a forma de contaminação e remoção do vírus, acredito que ele seja essencial na
produção de um software ou script para detectar e remover o vírus Conficker e até
mesmo a produção de um artefato para analisar o trafego da rede com objetivo de
detectar e bloquear de forma automática a ação do Conficker.
65
REFERÊNCIAS BIBLIOGRÁFICAS
JAHANKHANI, Hamid; HESSAMI, Ali G; HSU, Feng. Global Security, Safety, and
Sustainability. Communications in Computer and Information Science. 5. ed.
Chennai: Springer, 2009. 194 p. ISSN 1865-0929.
SCHMIDT, Hannes. How to disable USB sticks and limit access to USB storage
devices on Windows systems. Disponível em:
<http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks>.
Acesso em 2 dez. 2009.