2012

Exercícios Comentados –
Malwares, Ataques e Antivírus

LhugoJr
Versão 1.0
20/11/2012
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

Introduçã o
Vale ressaltar que alguns comentários sobre as questões foram retiradas das seguintes fontes:

TECNOLOGIA DA INFORMAÇÃO - QUESTÕES COMENTADAS CESPE/UNB -

http://www.dominandoti.com.br/livros

TI – SEGURANÇA DA INFORMAÇÃO PARA CONCURSOS – NÍVEL AVANÇADO - http://socratesfilho.com/cursos-

teorico/seguranca-da-informacao-para-concursos/

Provas de TI – www.provasdeti.com.br

Também foram usadas outras fontes, como livros, comentários do site Questões de Concursos, etc.

Os comentários são sempre feitos colocando as fontes encontradas, algumas questões são mais difíceis de
encontrar as fontes, podendo assim ser retiradas da internet, de sites como wikipedia e outros.

Espero que ajude.

Abraços.

Notas da Versã o
Essa é a versão 1.0, sendo a maioria das questões da banca CESPE, com o tempo espero acrescentar muito
mais questões.

Caso encontre algum erro nesta versão pode mandar um e-mail para lhugojr@hotmail.com, colocando o
número da questão e o erro encontrado.

Você também pode ajudar a melhorar os comentários, alguns comentários podem estar com o nível fraco, isso
ocorre quando não são encontradas fontes que tratam sobre o tema da questão. Caso você encontre alguma
fonte ou queira melhorar o comentário mande um e-mail.

LhugoJr Página 1
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

1 Malwares
(CESPE – TCU 2007 – Analista de Controle Externo – Auditoria em TI)

1) São características típicas dos malwares: cavalos de tróia aparentam realizar atividades úteis; adwares
obtêm e transmitem informações privadas do usuário; backdoors estabelecem conexões para fora da
rede onde se encontram; worms modificam o código de uma aplicação para propagar-se em uma rede; e
botnets realizam ataques articulados por meio de um controle remoto.

Vamos as definições do CERT.BR (http://cartilha.cert.br/malware/):

Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente
projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.
Adware (Subtipo de SPYWARE): projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos,
quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas
livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são
direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.
Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros.
Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços
criados ou modificados para este fim.
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para
computador.

Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim
pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em
computadores
Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado
remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente,
explorando vulnerabilidades existentes em programas instalados em computadores

Portanto podemos perceber facilmente que as definições de adware e worm estão erradas, Questão errada.

(CESPE – Polícia Federal 2004 – Nacional – Perito Área 3)

2) Os programas conhecidos como spyware são um tipo de trojan que tem por objetivo coletar
informações acerca das atividades de um sistema ou dos seus usuários e representam uma ameaça à
confidencialidade das informações acessadas no sistema infectado. Esses programas não são
considerados como vírus de computador, desde que não se repliquem a partir de um sistema onde
tenham sido instalados.

Usando um pedaço do comentário da banca CESPE

Spyware são programas inteiros que executam independentemente de outros arquivos do sistema infectado. Os vírus são
fragmentos de código inseridos em outros arquivos do sistema infectado. Estes arquivos são denominados “arquivo hospedeiro”.
Assim, os spyware não são considerados vírus por não requererem um “arquivo hospedeiro”. Este é o verdadeiro motivo pelo qual
os spyware não são considerados vírus, ao invés de estes não serem considerados vírus apenas quando não possuírem um
mecanismo de replicação.

Portanto o que torna a questão errada é a segunda parte: “Esses programas não são considerados como vírus
de computador, desde que não se repliquem a partir de um sistema onde tenham sido instalados.”. O
verdadeiro motivo de não ser considerado vírus é o fato de não necessitarem de um arquivo hospedeiro.

(CESPE – Banco da Amazônia - 2010 – Técnico Científico – Especialidade: Tecnologia

da Informação – Redes e Telecomunicações)

LhugoJr Página 2
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

3) Os vírus geralmente se disseminam sem a ação do usuário e distribuem cópias completas de si mesmos,
possivelmente modificadas, através das redes.

Vamos usar Stallings, pag. 445:

Um vírus é um software que pode 'infectar' outros programas modificando-os; a modificação inclui uma cópia do programa de
vírus, que pode então prosseguir para infectar outros programas.

Um verme (worm) é um programa que pode se replicar e enviar cópias de um computador para outro através da rede. Na chegada,
o worm pode ser ativado para replicar-se e propagar-se novamente. Além da propagação, o verme normalmente realiza alguma
função indesejada.

Também usando a cartilha de segurança do CERT.BR

Vírus é um programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si
mesmo e se tornando parte de outros programas e arquivos.

Para que possa se tornar ativo e dar continuidade ao processo de infecção, o vírus depende da execução do programa ou arquivo
hospedeiro, ou seja, para que o seu computador seja infectado é preciso que um programa já infectado seja executado.

O principal meio de propagação de vírus costumava ser os disquetes. Com o tempo, porém, estas mídias caíram em desuso e
começaram a surgir novas maneiras, como o envio de e-mail. Atualmente, as mídias removíveis tornaram-se novamente o principal
meio de propagação, não mais por disquetes, mas, principalmente, pelo uso de pen-drives.

Há diferentes tipos de vírus. Alguns procuram permanecer ocultos, infectando arquivos do disco e executando uma série de
atividades sem o conhecimento do usuário. Há outros que permanecem inativos durante certos períodos, entrando em atividade
apenas em datas específicas. Alguns dos tipos de vírus mais comuns são:

• Vírus propagado por e-mail: recebido como um arquivo anexo a um e-mail cujo conteúdo tenta induzir o usuário a clicar
sobre este arquivo, fazendo com que seja executado. Quando entra em ação, infecta arquivos e programas e envia cópias
de si mesmo para os e-mails encontrados nas listas de contatos gravadas no computador.
• Vírus de script: escrito em linguagem de script, como VBScript e JavaScript, e recebido ao acessar uma página Web ou por
e-mail, como um arquivo anexo ou como parte do próprio e-mail escrito em formato HTML. Pode ser automaticamente
executado, dependendo da configuração do navegador Web e do programa leitor de e-mails do usuário.
• Vírus de macro: tipo específico de vírus de script, escrito em linguagem de macro, que tenta infectar arquivos
manipulados por aplicativos que utilizam esta linguagem como, por exemplo, os que compõe o Microsoft Office (Excel,
Word e PowerPoint, entre outros).
• Vírus de telefone celular: vírus que se propaga de celular para celular por meio da tecnologia bluetooth ou de mensagens
MMS (Multimedia Message Service). A infecção ocorre quando um usuário permite o recebimento de um arquivo
infectado e o executa. Após infectar o celular, o vírus pode destruir ou sobrescrever arquivos, remover ou transmitir
contatos da agenda, efetuar ligações telefônicas e drenar a carga da bateria, além de tentar se propagar para outros
celulares.

Portanto a questão está errada, já que vírus precisa de uma ação de usuário para se tornar ativo. E quem se
propaga automaticamente pela rede é o worm.

4) Um worm é um método oculto para contornar os mecanismos de autenticação em sistemas

computacionais.

Vamos a definição do CERT.BR:

Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para
computador.

Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim
pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em
computadores.

Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que

LhugoJr Página 3
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

O processo de propagação e infecção dos worms ocorre da seguinte maneira:

a) Identificação dos computadores alvos: após infectar um computador, o worm tenta se propagar e continuar o processo de
infecção. Para isto, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito de
uma ou mais das seguintes maneiras:
• efetuar varredura na rede e identificar computadores ativos;
• aguardar que outros computadores contatem o computador infectado;
• utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos;
• utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-
mail.
b) Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes computadores,
por uma ou mais das seguintes formas:
• como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo;
• anexadas a e-mails;
• via canais de IRC (Internet Relay Chat);
• via programas de troca de mensagens instantâneas;
• incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).
c) Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção ocorra, o que
pode acontecer de uma ou mais das seguintes maneiras:
• imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no
computador alvo no momento do recebimento da cópia;
• diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador;
• pela realização de uma ação específica do usuário, a qual o worm está condicionado como, por exemplo, a inserção
de uma mídia removível.
d) Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de
agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques.
Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código
malicioso em um computador comprometido.

O conjunto de programas e técnicas fornecido pelos rootkits pode ser usado para:

• remover evidências em arquivos de logs (mais detalhes na Seção 7.6 do Capítulo Mecanismos de segurança);
• instalar outros códigos maliciosos, como backdoors, para assegurar o acesso futuro ao computador infectado;
• esconder atividades e informações, como arquivos, diretórios, processos, chaves de registro, conexões de rede, etc;
• mapear potenciais vulnerabilidades em outros computadores, por meio de varreduras na rede;
• capturar informações da rede onde o computador comprometido está localizado, pela interceptação de tráfego.

É muito importante ressaltar que o nome rootkit não indica que os programas e as técnicas que o compõe são usadas para obter
acesso privilegiado a um computador, mas sim para mantê-lo.

Rootkits inicialmente eram usados por atacantes que, após invadirem um computador, os instalavam para manter o acesso
privilegiado, sem precisar recorrer novamente aos métodos utilizados na invasão, e para esconder suas atividades do responsável
e/ou dos usuários do computador. Apesar de ainda serem bastante usados por atacantes, os rootkits atualmente têm sido também
utilizados e incorporados por outros códigos maliciosos para ficarem ocultos e não serem detectados pelo usuário e nem por
mecanismos de proteção.

Há casos de rootkits instalados propositalmente por empresas distribuidoras de CDs de música, sob a alegação de necessidade de
proteção aos direitos autorais de suas obras. A instalação nestes casos costumava ocorrer de forma automática, no momento em
que um dos CDs distribuídos contendo o código malicioso era inserido e executado. É importante ressaltar que estes casos
constituem uma séria ameaça à segurança do computador, pois os rootkits instalados, além de comprometerem a privacidade do
usuário, também podem ser reconfigurados e utilizados para esconder a presença e os arquivos inseridos por atacantes ou por
outros códigos maliciosos.

Portanto a questão está errada, trocando a definição de rootkit por worm.

(CESPE – Banco da Amazônia - 2010 – Técnico Científico – Especialidade: Tecnologia

da Informação – Segurança da Informação)

LhugoJr Página 4
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

5) O cavalo de troia (trojan horse) não embute cópias de si mesmo em outros programas ou arquivos e não
necessita ser executado para se propagar. Sua propagação se dá por meio da exploração de
vulnerabilidades existentes ou de falhas na configuração de software instalados em computadores.

Segundo o glossário da cartilha do CERT.BR (http://cartilha.cert.br/glossario/)

Worm - Tipo de código malicioso. Programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de
computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não
necessita ser explicitamente executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades
existentes ou falhas na configuração de programas instalados em computadores.

Portanto questão errada, trocou worm por trojan horse.

Só para mais estudos vamos a definição de trojan horse, pelo mesmo glossário:

Cavalo de troia - Tipo de código malicioso. Programa normalmente recebido como um "presente" (por exemplo, cartão virtual,
álbum de fotos, protetor de tela, jogo, etc.) que, além de executar as funções para as quais foi aparentemente projetado, também
executa outras funções, normalmente maliciosas e sem o conhecimento do usuário.

6) Um worm pode realizar diversas funções maliciosas, como a instalação de keyloggers ou screenloggers,
o furto de senhas e outras informações sensíveis, como números de cartões de crédito, a inclusão de
backdoors, para permitir que um atacante tenha total controle sobre o computador, e a alteração ou
destruição de arquivos.

Segundo a cartilha de segurança do CERT.BR, temos:

Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente
projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.

Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais
animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e
necessitam ser explicitamente executados para que sejam instalados no computador.

Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para
que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas.

Há diferentes tipos de trojans, classificados2 de acordo com as ações maliciosas que costumam executar ao infectar um
computador. Alguns destes tipos são:

• Trojan Downloader: instala outros códigos maliciosos, obtidos de sites na Internet.

• Trojan Dropper: instala outros códigos maliciosos, embutidos no próprio código do trojan.
• Trojan Backdoor: inclui backdoors, possibilitando o acesso remoto do atacante ao computador.
• Trojan DoS: instala ferramentas de negação de serviço e as utiliza para desferir ataques.
• Trojan Destrutivo: altera/apaga arquivos e diretórios, formata o disco rígido e pode deixar o computador fora de
operação.
• Trojan Clicker: redireciona a navegação do usuário para sites específicos, com o objetivo de aumentar a quantidade de
acessos a estes sites ou apresentar propagandas.
• Trojan Proxy: instala um servidor de proxy, possibilitando que o computador seja utilizado para navegação anônima e
para envio de spam.
• Trojan Spy: instala programas spyware e os utiliza para coletar informações sensíveis, como senhas e números de cartão
de crédito, e enviá-las ao atacante.
• Trojan Banker ou Bancos: coleta dados bancários do usuário, através da instalação de programas spyware que são
ativados quando sites de Internet Banking são acessados. É similar ao Trojan Spy porém com objetivos mais específicos
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para
computador.

Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim
pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em

LhugoJr Página 5
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

computadores.

Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que
costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

O processo de propagação e infecção dos worms ocorre da seguinte maneira:

e) Identificação dos computadores alvos: após infectar um computador, o worm tenta se propagar e continuar o processo de
infecção. Para isto, necessita identificar os computadores alvos para os quais tentará se copiar, o que pode ser feito de
uma ou mais das seguintes maneiras:
• efetuar varredura na rede e identificar computadores ativos;
• aguardar que outros computadores contatem o computador infectado;
• utilizar listas, predefinidas ou obtidas na Internet, contendo a identificação dos alvos;
• utilizar informações contidas no computador infectado, como arquivos de configuração e listas de endereços de e-
mail.
f) Envio das cópias: após identificar os alvos, o worm efetua cópias de si mesmo e tenta enviá-las para estes computadores,
por uma ou mais das seguintes formas:
• como parte da exploração de vulnerabilidades existentes em programas instalados no computador alvo;
• anexadas a e-mails;
• via canais de IRC (Internet Relay Chat);
• via programas de troca de mensagens instantâneas;
• incluídas em pastas compartilhadas em redes locais ou do tipo P2P (Peer to Peer).
g) Ativação das cópias: após realizado o envio da cópia, o worm necessita ser executado para que a infecção ocorra, o que
pode acontecer de uma ou mais das seguintes maneiras:
• imediatamente após ter sido transmitido, pela exploração de vulnerabilidades em programas sendo executados no
computador alvo no momento do recebimento da cópia;
• diretamente pelo usuário, pela execução de uma das cópias enviadas ao seu computador;
• pela realização de uma ação específica do usuário, a qual o worm está condicionado como, por exemplo, a inserção
de uma mídia removível.
h) Reinício do processo: após o alvo ser infectado, o processo de propagação e infecção recomeça, sendo que, a partir de
agora, o computador que antes era o alvo passa a ser também o computador originador dos ataques.

Portanto a questão trocou a definição de Trojan-horse por worm, questão errada.

7) (MCT/Tecnologista Jr/2008) Um vírus de macrocomandos de uma aplicação, como, por exemplo, um

editor de textos, é independente da plataforma computacional e dos sistemas operacionais.

Usando Stallings (pag. 450) como bibliografia, temos:

Os vírus de macro são particularmente ameaçadores por diversos motivos:

1. Um vírus de macro é independente de plataforma. Praticamente todos os vírus de macro infectam documentos do Microsoft
Word. Qualquer plataforma de hardware e sistema operacional que aceite o Word pode ser infectados.

2. Os vírus de macro infectam documentos, e não partes executáveis do código. A maior parte das informações introduzidas em um
sistema de computador está na forma de um documento, em vez de um programa.

3. Os vírus de macro são facilmente espalhados. Um método muito comum é por e-mail.

Portanto a questão está correta.

8) (MCT/Analista de C&T/2008) Na fase latente ou dormente, um vírus de computador encontra-se quieto,

mas pronto para ser ativado por algum evento.

Segundo Stallings (pag. 448):

Durante seu tempo de vida, um vírus típico passa pelas quatro fases a seguir:

• Fase latente: O vírus está inativo. O vírus será ativado por algum evento, como uma data, a presença de outro programa ou

LhugoJr Página 6
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

arquivo, ou a capacidade do disco de exceder algum limite. Nem todos os vírus têm esse estágio.

• Fase de propagação: O vírus coloca uma cópia idêntica de si mesmo em outros programas ou em certas áreas do sistema no disco.
Cada programa infectado agora terá um clone do vírus que, por si só, entrará em uma fase de propagação.

• Fase de disparo: O vírus é ativado para realizar a função para a qual ele foi planejado. Assim como na fase latente, a fase de
disparo pode ser causada por diversos eventos do sistema, incluindo a contagem do número de vezes que essa cópia do vírus fez
cópias de si mesma.

• Fase de execução: A função é realizada. A função pode ser inofensiva, como uma mensagem na tela, ou danosa, como a
destruição de programas e arquivos de dados.

Portanto o item está correto.

9) (BASA/Técnico Científico/Tecnologia da Informação/Segurança da Informação/2009) O cavalo de troia

(trojan horse) não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser
executado para se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades
existentes ou de falhas na configuração de software instalados em computadores.

Cavalo de troia, trojan ou trojan-horse, é um programa que, além de executar as funções para as quais foi aparentemente
projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário.

Exemplos de trojans são programas que você recebe ou obtém de sites na Internet e que parecem ser apenas cartões virtuais
animados, álbuns de fotos, jogos e protetores de tela, entre outros. Estes programas, geralmente, consistem de um único arquivo e
necessitam ser explicitamente executados para que sejam instalados no computador.

Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para
que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas.

Há diferentes tipos de trojans, classificados de acordo com as ações maliciosas que costumam executar ao infectar um computador.
Worm é um programa capaz de se propagar automaticamente pelas redes, enviando cópias de si mesmo de computador para
computador.

Diferente do vírus, o worm não se propaga por meio da inclusão de cópias de si mesmo em outros programas ou arquivos, mas sim
pela execução direta de suas cópias ou pela exploração automática de vulnerabilidades existentes em programas instalados em
computadores.

Worms são notadamente responsáveis por consumir muitos recursos, devido à grande quantidade de cópias de si mesmo que
costumam propagar e, como consequência, podem afetar o desempenho de redes e a utilização de computadores.

Mais uma vez a questão trocou a definição de trojan horse e worm. Questão errada.

A questão ficaria correta se fosse assim redigida:

O worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser executado para
se propagar. Sua propagação se dá por meio da exploração de vulnerabilidades existentes ou de falhas na
configuração de software instalados em computadores.

10) (EMBASA/Assistente de Saneamento/Assistente de Informática I/2010) Cavalo de troia é um software

legítimo que o usuário utiliza normalmente, mas, ao mesmo tempo, executa outras funções ilegais,
como enviar mensagens e arquivos para o hacker ou abrir portas de entrada para futuras invasões.

Agora como Gleyson falou, vamos usar Stallings:

Cavalos-de-tróia Um cavalo-de-tróia é um programa ou procedimento de comando útil, ou aparentemente útil, contendo código
oculto que, quando invocado, realiza alguma função indesejada ou prejudicial.
Os cavalos-de-tróia podem ser usados para executar funções indiretamente, que um usuário não autorizado não poderia executar

LhugoJr Página 7
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

diretamente. Por exemplo, para obter acesso aos arquivos de outro usuário em um sistema compartilhado, um usuário pode criar
um cavalo-de-tróia que, quando executado, mude as permissões de arquivo do usuário, permitindo que os arquivos sejam lidos por
qualquer usuário. O autor pode, então, induzir os usuários a executar o programa colocando-o em um diretório comum e
nomeando-o de modo que pareça ser um utilitário. Um exemplo é um programa que produz aparentemente uma listagem dos
arquivos do usuário em um formato desejável. Depois que outro usuário tiver executado o programa, o autor pode então acessar
as informações nos arquivos do usuário. Um exemplo de cavalo-de-tróia que seria difícil de detectar é um compilador modificado
para inserir código adicional em certos programas enquanto são compilados como um programa de login do sistema. O código cria
uma backdoor no programa de login, que permite ao autor efetuar o logon no sistema usando uma Senha especial. Esse cavalo-de-
tróia pode nunca ser descoberto lendo-se o código-fonte do programa de login.
Outra motivação comum para o cavalo-de-tróia é a destruição de dados. O programa parece estar realizando uma função útil (por
exemplo, um programa de calculadora), mas também pode estar excluindo silenciosamente os arquivos do usuário.

Portanto a questão está correta.

11) (TJ-ES/Analista Judiciário/Análise de Suporte/2011) Um spyware consiste em uma falha de segurança

intencional, gravada no computador ou no sistema operacional, a fim de permitir a um cracker obter
acesso ilegal e controle da máquina.

Usando a cartilha de segurança do CERT.BR, temos:

Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços
criados ou modificados para este fim.

Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que
exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo.

Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado
remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na
maioria dos casos, sem que seja notado.

A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado
serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração
remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário,
também podem ser classificados como backdoors.

Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas.
Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além
de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o
computador.
Spyware é um programa projetado para monitorar as atividades de um sistema e enviar as informações coletadas para terceiros.

Pode ser usado tanto de forma legítima quanto maliciosa, dependendo de como é instalado, das ações realizadas, do tipo de
informação monitorada e do uso que é feito por quem recebe as informações coletadas. Pode ser considerado de uso:

• Legítimo: quando instalado em um computador pessoal, pelo próprio dono ou com consentimento deste, com o objetivo
de verificar se outras pessoas o estão utilizando de modo abusivo ou não autorizado.
• Malicioso: quando executa ações que podem comprometer a privacidade do usuário e a segurança do computador, como
monitorar e capturar informações referentes à navegação do usuário ou inseridas em outros programas (por exemplo,
conta de usuário e senha).

Alguns tipos específicos de programas spyware são:

• Keylogger: capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado do computador. Sua ativação, em
muitos casos, é condicionada a uma ação prévia do usuário, como o acesso a um site específico de comércio eletrônico ou
de Internet Banking.
• Screenlogger: similar ao keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos
momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado. É bastante utilizado por
atacantes para capturar as teclas digitadas pelos usuários em teclados virtuais, disponíveis principalmente em sites de
Internet Banking.
• Adware: projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando
incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas

LhugoJr Página 8
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas
são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

A questão trocou backdoor por spyware, então está errada.

(FCC – BACEN - 2005 – Analista - Área 1)

12) Um código malicioso que se altera em tamanho e aparência a cada vez que infecta um novo programa é
um vírus do tipo:

a) polimórfico
b) de boot
c) de macro
d) parasita
e) camuflado.

Vamos à definição encontrada no livro de Stallings, pag 450.

Vírus parasitário: A forma de vírus tradicional e anda mais comum. Um vírus parasitário se conecta a arquivos executáveis e se
replica quando o programa infectado é executado, localizando outros arquivos executáveis para infectar.

Vírus furtivo: Uma forma de vírus projetado explicitamente para se esconder da detecção pelo software (anti vírus).

Vírus polimórfico: Um vírus que se transforma a cada infecção, impossibilitando a detecção pela ‘assinatura’ do vírus.

Vírus metamórfico: Assim como um vírus polimórfico, um vírus metamórfico muda a cada infecção. A diferença é que um vírus
metamórfico se reescreve completamente a cada iteração, aumentando a dificuldade de detecção. Os vírus metamórficos podem
mudar seu comportamento e também sua aparência.
Um vírus polimórfico cria cópias durante a repetição funcionalmente equivalentes mas que possuem padrões de bits distintamente
diferentes. Assim como um vírus furtivo a finalidade é enganar programas que procuram vírus.
Nesse caso, a ‘assinatura’ do vírus variará a cada cópia. Para conseguir essa variação, o vírus pode inserir aleatoriamente instruções
supérfluas ou trocar a ordem de instruções independentes. Uma técnica mais eficaz é usar a criptografia. Uma parte do vírus,
geralmente chamada mecanismo de mutação, cria uma chave de criptografia aleatória para criptografar o restante do vírus. A
chave é armazenada com o vírus, e o próprio mecanismo de mutação é alterado.
Quando um programa infectado é chamado, o vírus usa a chave aleatória armazenada para decriptografar o vírus.
Quando o vírus se replica, urna chave aleatória diferente é selecionada.

Portanto o gabarito da questão é letra A.

2 Ataques
(CESPE – Polícia Federal 2004 – Nacional – Perito Área 3)

13) Um ataque de buffer overflow consiste em desviar o fluxo de execução de um software para um
programa arbitrário que esteja copiado no disco rígido do sistema atacado. Esse é um exemplo clássico
de backdoor resultante de um defeito de programação, que só pode ser eliminado com a atualização de
versão do software defeituoso.

Usando o comentário do professor Sócrates Filho:

O buffer overflow não se confunde com backdoor. Backdoor é criado intencionalmente para garantir o acesso
posterior de um atacante. Um defeito de programação acidental não pode ser considerado backdoor. Portanto
questão errada

LhugoJr Página 9
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

Definição de Buffer Overflow, segundo o wikipedia http://pt.wikipedia.org/wiki/Transbordamento_de_dados

Agora vamos a definição de backdoor pela cartilha do cert:

Backdoor é um programa que permite o retorno de um invasor a um computador comprometido, por meio da inclusão de serviços
criados ou modificados para este fim.

Pode ser incluído pela ação de outros códigos maliciosos, que tenham previamente infectado o computador, ou por atacantes, que
exploram vulnerabilidades existentes nos programas instalados no computador para invadi-lo.

Após incluído, o backdoor é usado para assegurar o acesso futuro ao computador comprometido, permitindo que ele seja acessado
remotamente, sem que haja necessidade de recorrer novamente aos métodos utilizados na realização da invasão ou infecção e, na
maioria dos casos, sem que seja notado.

A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado
serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração
remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário,
também podem ser classificados como backdoors.

Há casos de backdoors incluídos propositalmente por fabricantes de programas, sob alegação de necessidades administrativas.
Esses casos constituem uma séria ameaça à segurança de um computador que contenha um destes programas instalados pois, além
de comprometerem a privacidade do usuário, também podem ser usados por invasores para acessarem remotamente o
computador.

14) (EMBASA/Analista de Saneamento/Analista de Tecnologia da Informação – Rede/2010) O ataque de

MAC flooding faz um switch transmitir frames para todas as suas portas, como se fosse um hub.

Segundo o professor Gleyson Azevedo, no seu livro de questões, ele comenta sobre Mac Flooding:

O MAC flooding consiste em enviar uma imensa quantidade de quadros com endereços MAC de origem forjados e
aleatórios com o objetivo de esgotar a tabela MAC do switch. Quando isso ocorre, comumente o switch passa a enviar
dados para todas as suas portas, como se fosse um hub, e viabilizando ataques de sniffer passivo

Podemos também usar a referência do wikipedia:

http://pt.wikipedia.org/wiki/Mac_flooding
http://en.wikipedia.org/wiki/Mac_flooding

Com isso percebemos que a questão está correta.

15) (DATAPREV/Analista de Tecnologia da Informação/Redes/2006) A restrição na capacidade de

aprendizado de endereços nas portas de um switch é suficiente para evitar o ARP spoofing.

Vamos usar o comentário do livro recomendado pelo professor Gleyson Azevedo: Counter Hack Reloaded,
Second Edition.

Some switches are not subject to this MAC flooding attack because they stop storing new MAC addresses when
the remaining capacity of their memory reaches a given limit. With those switches, once the memory is filled,
no other MAC addresses can be admitted to the LAN until some existing MAC addresses in the CAM table time
out, a period that depends on the switch but typically involves several minutes.

Agora complementando com o comentário do professor Glesyon:

LhugoJr Página 10
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

A restrição da capacidade de aprendizagem nas portas de um switch é uma contramedida para o ataque de
MAC flooding e não tem qualquer eficácia contra o ARP spoofing.

Portanto a questão está errada.

16) (STM/Analista Judiciário/Análise de Sistemas/2011) A filtragem de tráfego egresso e ingressante é uma

das medidas aplicáveis na proteção a ataques de negação de serviço, distribuídos ou não, como o syn
flooding e o icmp flooding.

Usando os comentários do professor Gleyson Azevedo em seu livro, temos:

Como técnicas empregadas em ataques de negação de serviço, o syn flooding e o ICMP flooding usualmente
dependem do IP spoofing (NAKAMURA, 2007, p. 103). Desta forma, a filtragem dos tráfegos egresso e
ingressante pode ser útil no combate a esses ataques da seguinte forma:

• não se admite sair da rede interna pacotes cujo IP de origem seja da rede externa (NAKAMURA, 2007, p. 109);
• não se admite a entrada de pacotes da rede externa cujo IP de origem seja da rede interna (NAKAMURA, 2007, p.
103).

Ainda temos:

Syn flooding é um ataque que explora o mecanismo de estabelecimento de conexões TCP, conhecido como three-way handshake.
Nele, um grande número de pedidos de conexão (pacotes SYN) é enviado, causando um estouro da pilha de memória do alvo, que
não é capaz de responder a todas (NAKAMURA, 2007, p. 105).

ICMP flooding é um ataque de negação de serviço em que o atacante envia uma série de pacotes de requisição ICMP de eco (ping)
maior do que a implementação do protocolo pode manipular (SHIREY, 2007, p. 145).

Portanto, a questão está correta.

17) (TCU/Analista de Controle Externo/Auditoria de TI/2007) A detecção, por um sniffer de rede, de uma
longa série de segmentos TCP SYN enviados de um host local para um host remoto, sem o
correspondente envio de segmentos TCP ACK, sugere que a rede sob análise pode estar sofrendo um
ataque de negação de serviço.

Mais uma vez usando como base o professor Gleyson:

Como que está enviando o TCP SYN é o host local, não é prudente dizer que a rede sob análise está sob
ataque, o mais correto seria dizer que a rede está realizando um ataque de negação de serviço.

18) (IPEA/Analista de Sistemas/Suporte de Infraestrutura/2008) Em um ataque negação de serviço por

refletor — reflector distributed denial of service (DDoS) — entidades escravas do atacante constroem
pacotes que requerem respostas e contém o endereço IP do alvo como endereço fonte no cabeçalho, de
modo que ao serem enviados a computadores não infectados, os refletores, tais pacotes provocam
respostas direcionadas ao endereço alvo do ataque

Segundo Stallings, pagina 457:

Em um ataque de DDoS direto, o atacante é capaz de implantar software zumbi em diversos sites distribuídos pela
Internet. Normalmente, o ataque de DDoS envolve dois niveis de máquinas zumbi: zumbis-mestres e zumbis escravos.
Os hosts das duas máquinas foram infectados com código malicioso. O atacante coordena e dispara os zumbis·mestres, que por sua
vez, coordenam e disparam os zumbis escravos. O uso de dois níveis de zumbis toma mais difícil o trabalho de rastrear o ataque até
a sua origem e fornece uma rede de atacantes mais flexível.

LhugoJr Página 11
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

Um ataque de DDoS refletor acrescenta outra camada de máquinas. Nesse tipo de ataque, os zumbis escravos criam pacote
solicitando uma resposta que contenha o endereço de IP do alvo como o endereço de IP de origem no cabeçalho do pacote de IP
Esses pacotes são enviados a máquinas não infectadas, conhecidas como refletoras. As máquinas não infectadas respondem com
pacotes dirigidos para a máquina-alvo. Um ataque de DDoS refletor pode facilmente envolver mais máquinas e mais tráfego do que
um ataque de DDoS direto e, portanto, ser mais prejudicial. Além disso, é mais difícil rastrear o ataque ou filtrar os pacotes de
ataque, pois o ataque provém de máquinas não infectadas bastante dispersas.

Como visto, a questão está correta.

19) (TCU/Analista de Controle Externo/Tecnologia da Informação/2008) Para confirmar a suspeita de que a

indisponibilidade apresentada por um host da rede de computadores de uma organização está sendo
causada por um ataque do tipo smurf, o administrador deverá verificar se há um grande número de
pacotes ICMP (Internet control message protocol) do tipo request originados de vários computadores
pertencentes a uma mesma rede e direcionados a este host.

A questão erra ao dizer que os pacotes são do tipo request, e na verdade são do tipo reply.

Usando como fonte o livro, Network Security Bible:

LhugoJr Página 12
Questões Comentadas – Malware, Ataques e Antivírus (Versão 1.0)

Smurf—This attack involves using IP spoofing and the ICMP to saturate a target network with traffic, there by launching a DoS
attack. It consists of three elements: the source site, the bounce site, and the target site. The attacker (the source site) sends a
spoofed ping packet to the broadcast address of a large network (the bounce site). This modified packet contains the address of the
target site. This causes the bounce site to broadcast the misinformation to all of the devices on its local network. All of these
devices now respond with a reply to the target system, which is then saturated with those replies.

3 Anti-vírus
20) (ABIN/Oficial Técnico de Inteligência/Suporte a Rede de Dados/2010) Os scanners heurísticos,
programas de combate a códigos maliciosos, dependem da assinatura específica de um vírus, que deve
ser combinada com regras heurísticas para a detecção de provável infecção por vírus.

Segundo Stallings, temos:

Primeira geração: scanner simples - Exige que uma assinatura identifique um vírus. O vírus pode conter ‘curingas’, mas possui
essencialmente a mesma estrutura e padrão de bits em todas as cópias. Esses scanners específicos de assinatura são limitados à
detecção de vírus conhecidos. Outro tipo de scanner de primeira geração mantém um registro do tamanho dos programas e procura
alterações no tamanho.
Segunda geração: scanner heurístico - Não depende de uma assinatura específica. Em vez disso, o scanner usa regras heurísticas para
procurar uma provável infecção de vírus. Uma classe desses scanners procura fragmentos de código que frequentemente estão
associados a vírus. Por exemplo, ele pode procurar o início de um loop de criptografia usado em um vírus polimórfico e descobrir a
chave de criptografia. Quando a chave é descoberta, o scanner pode descriptografar o vírus para identificá-lo, depois remover a
infecção c retornar o programa à operação normal.
Outra técnica de segunda geração é a verificação de integridade. Uma soma de verificação (checksum) pode ser anexada a cada
programa. Se um vírus infectar o programa sem mudar a soma de verificação, então uma verificação de integridade detectará a
mudança. Para enfrentar um vírus sofisticado o suficiente para alterar a soma de verificação ao infectar um programa, uma função de
hash criptografada poderá ser usada. A chave de criptografia é armazenada separadamente do programa, para que o vírus não possa
gerar um novo código de hash e criptografá-lo. Usando uma função de hash em vez de uma soma de verificação mais simples, o vírus
é impedido de ajustar o programa para produzir o mesmo código de hash anterior.
Terceira geração: interceptações de atividade - São programas residentes na memória, que identificam um vírus por suas ações, em
vez de sua estrutura em um programa infectado. Esses programas têm a vantagem de que não é necessário desenvolver assinaturas e
heurísticas para uma ampla variedade de vírus. Em vez disso, é necessário apenas identificar um pequeno conjunto de ações que
indicam que uma infecção está sendo tentada e, então, intervir.
Quarta geração: proteção completa - São pacotes compostos por uma série de técnicas anti-vírus usadas em conjunto. Estas incluem
componentes de varredura e de interceptação de atividades. Além disso, esse tipo de pacote inclui recurso de controle de acesso, que
limita a capacidade dos vírus de penetrar em um sistema e, por consequência, limita a capacidade de um vírus de atualizar arquivos a
fim de passar a infecção adiante.

Questão errada, porque scanner heurístico não depende de assinatura específica.

(CESPE – Câmara Legislativa do DF – Consultor Legislativos – Analista de Sistemas:

área 3)

21) A eficiência de sistemas antivírus está relacionada com a capacidade de atualização automática de suas
bases de conhecimento. Para otimizar o processo de atualização, serviços de antivírus corporativos
devem manter uma base de dados centralizada sobre vírus conhecidos, evitando o uso de bases de
dados locais. Essa base centralizada deve ser consultada pelos clientes locais do sistema de antivírus
corporativo durante cada varredura realizada em uma estação de trabalho individual.

Segundo o professor Sócrates Filho:

O erro da questão começa a partir do trecho “..., evitando o uso de bases de dados locais ... ”, pois uma organização só deve
centralizar os bancos de dados para atualização das bases locais.

Portanto a questão está errada.

LhugoJr Página 13