Malwares

As maiores ameaas aos usurios de computadores conectados na Internet so

representadas pelos Malwares. Eles podem seqestrar o browser, redirecionar as consultas
de buscas, incluir pop-ups, registrar os sites visitados, etc. A programao de Malwares
pode ser simples (veja um exemplo na pgina 3) e eles podem causar srios problemas
tornando o computador instvel e as comunicaes inseguras. Vrios Malwares podem
reinstalar-se aps serem removidos, ou ocultar-se no Kernel do sistema operacional, sendo
extremamente difceis de serem localizados. O termo Malware originado da contrao
de malicious software, e identifica qualquer programa desenvolvido com o propsito de
causar dano a um computador, sistema ou redes de computadores. O Malware pode ser
classificado de acordo com a maneira como executado, como se replica e pelo que
faz. A classificao no perfeita porque estas funes frequentemente se sobrepem e
as diferenas nem sempre so bvias.

Classes de Software Malicioso

Os dois tipos mais comuns de Malware so os vrus e os vermes (worms). Ambos tm em
comum a capacidade de se auto-replicarem, ou seja, podem divulgar cpias para outros
computadores ou sistemas. Nem todos os programas que se auto-replicam so maliciosos;
existem aplicaes que utilizam este recurso para criar cpias de segurana. Para serem
classificados como vrus ou vermes, pelo menos algumas destas cpias devem estar
habilitadas a replicar-se, criando uma rede de distribuio que propaga o Malware. A
diferena conceitual entre um vrus e um verme que este ltimo opera independente de
outros arquivos ou programas, enquanto o primeiro depende de um hospedeiro para ser
distribudo.
Uma classificao de software malicioso poderia ser:
Vrus:

Os vrus utilizam vrios tipos de hospedeiros. Na sua origem os vrus

residiam em arquivos executveis e setores de boot de disquetes,
posteriormente contaminaram documentos com macros em scripts e
atualmente esto embutidos em anexos de e-mails, que dependem da
curiosidade do usurio para serem ativados. No caso dos arquivos
executveis, o vrus caracterizado por uma poro de cdigo
acrescida ao cdigo original que executada junto com o aplicativo.
Normalmente o programa hospedeiro mantm o seu funcionamento
depois de infectado, como estratgia para ser propagado, mas
algumas viroses sobrescrevem os cdigos de programas, inabilitando a
sua funo original. Os vrus se propagam quando o arquivo hospedeiro
(programa ou documento) transferido de um computador para outro.

Vermes (Worms): Os vermes digitais so semelhantes aos vrus, mas no dependem de

hospedeiros para replicarem-se. Eles modificam a operao do sistema
operacional do computador infectado para serem inicializados como
parte do processo de boot. Para replicarem-se, os vermes exploram
vulnerabilidades do sistema alvo ou usam algum tipo de engenharia
social para convencerem as vtimas a acionar a sua execuo.
UBC 722 - Malware.doc

Pag 1

Wabbit:

Um tipo de programa que se caracteriza pela eficincia em autoreplicar-se. Wabbits no usam programas ou arquivos hospedeiros e no
utilizam redes para distribuir suas cpias. O Wabbit se auto-replica
repetitivamente no computador, causando dano pelo consumo de
recursos. Um exemplo de Wabbit o fork bomb, um ataque tipo
Denial of Service que assume que o nmero de programas e processos
simultneos que podem ser executados em um computador tem um
limite. O Fork Bomb opera criando rapidamente um grande nmero de
processos para saturar os recursos do sistema, inviabilizando o seu uso.

Cavalos de Tria: Um Cavalo de Tria (Trojan) um programa malicioso que se disfara

de programa legtimo. Cavalos de Tria no se replicam
automaticamente e so espalhados anexados a programas teis.
Cavalos de Tria podem portar outros malware, como vrus e vermes,
em uma variante que chamada de droppers.
Backdoor:

Um Backdoor um software que permite o acesso a um computador

evitando os procedimentos normais de autenticao. Existem dois
grupos de Backdoors. Os primeiros so inseridos manualmente no cdigo
de um software hospedeiro e so divulgados na medida em que o
programa instalado. O segundo tem um comportamento semelhante
aos vermes, integram o processo de inicializao do equipamento e se
espalham transportados pelas pragas virtuais. Em algumas publicaes
tem surgido o termo Ratware para descrever um malware tipo backdoor
que transforma o sistema infectado em um Zumbi para o envio de
spams.

Spyware:

So softwares que coletam e enviam informaes (padres de

navegao nos casos mais benignos ou nmero de carto de crdito
nos casos mais malignos) sobre os usurios ou, mais precisamente, sobre
a atividade do computador, normalmente sem notificao explcita ao
usurio. A propagao dos Spywares semelhante a dos Cavalos de
Tria.

Exploits:

So cdigos que visam explorar uma vulnerabilidade conhecida. Exploits

no so necessariamente maliciosos, muitos so projetados por
pesquisadores de segurana para comprovar que a vulnerabilidade
existe, entretanto, eles so um componente comum em programas
maliciosos.

Rootkit:

So programas inseridos depois de um atacante conseguir controlar o

computador. Incluem frequentemente funes para ocultar indcios,
excluindo registros de Log e disfarando os procedimentos usados no
ataque. Rootkits podem incluir Backdoors, que permitem ao atacante
voltar quando julgar conveniente, ou Exploits, servindo como apoio para
atacar outros sistemas. Rootkits competentes so difceis de identificar
porque eles atuam no nvel de Kernel para ocultar a sua presena. Existe
um consenso na comunidade de segurana de que se um sistema foi
comprometido por um Rootkit, o mais sensato a fazer reformatar todo
o ambiente e reinstalar o sistema, porque virtualmente impossvel ter
certeza que todos os seus componentes foram removidos.

UBC 722 - Malware.doc

Pag 2

Keylogger:

Software que registra toda a atividade do teclado em um arquivo, que

pode ser enviado para um provvel atacante. Alguns Keyloggers so
espertos o suficiente para registrar apenas as informaes digitadas
quando o usurio conecta com um site seguro. Por amostrar as teclas
que esto sendo digitadas, o Keylogger pode capturar nmeros de
contas, senhas e outras informaes, antes delas serem processadas
(criptografadas) por dispositivos de segurana.

Dialers:

Programas que substituem o nmero de telefone de uma ligao

discada por um outro, quase sempre uma ligao longa distncia,
para ataques tipo Man-in-the-Midle. Dialers podem ser programados
para realizarem chamadas em horrios no ortodoxos (04:00 da manh)
para transferirem informaes coletadas no computador durante o dia.

URL Injection:

Modifica o comportamento do browser em relao a alguns/todos

domnios. Substituem a URL enviada pelo servidor por uma outra com o
intuito de realizar lucro com ofertas relacionadas a produtos do site
original. Normalmente esta troca de sites realizada de modo
transparente ao usurio. O site alterado realiza operaes comerciais
em lugar do site originalmente acionado. O Mozilla FireFox BetterSearch
um exemplo.

Por uma questo de precedncia, o termo Vrus utilizado para caracterizar todos os tipos
de Malware. Os fornecedores de programas antivrus contribuem para este tipo de
confuso na medida em que combatem vrias manifestaes de Malwares.

Exemplo de cdigo fonte de um Wabbit em linguagem C++

# include <stdio.h>
struct nodof
{
struct nodof *elo;
}
*pri;
main( )
{
while(1) pri = (struct nodof*) malloc (sizeof (struct nodof));
}
//

ByCG

Carlos Alberto Goldani

Unicert Brasil Certificadora
Abril de 2005

UBC 722 - Malware.doc

Pag 3