Escolar Documentos
Profissional Documentos
Cultura Documentos
Tipos de Software
• Conceito:
▫ É a parte lógica do computador.
• Divide-se em:
• Básico
• Utilitários
• Aplicativos
3
Tipos de Software
• Básico
▫ São programas que gerenciam todo o funcionamento do computador
▫ Fornecem uma interface para o usuário
▫ Ex:
Sistemas Operacionais
Windows
Linux
Android
IOS, etc
4
Tipos de Software
• Sistemas Operacionais
▫ Faz com que o usuário interaja com a máquina sem que precise conhecer sobre
funcionamento de hardware.
5
Tipos de Software
• Sistemas Operacionais
▫ Dois tipos de modo de execução:
Modo Núcleo
Modo Usuário
Tipos de Software
• Utilitário
▫ Softwares que oferecem recursos complementares aos que já existem no SO.
Ex:
Compactadores
▫ WinRAR,
▫ WinZIP,
▫ WINARJ, etc
Antivírus
▫ Panda,
▫ MSE,
▫ Kaspersky,
▫ Mcafee,
▫ Symantec, etc
7
Tipos de Software
• Utilitário
▫ Softwares que oferecem recursos complementares aos que já existem no SO.
Ex:
Desfragmentação de disco
▫ Smart Defrag, Fragger,
▫ AML Free Disk Defrag,
▫ Auslogics Disk Defrag, etc.
Otimização de memória
▫ memory improve master,
▫ Memory manager, etc
Acesso remoto
▫ VNC,
▫ Teamview,
▫ Logmein,
▫ realvnc, etc
8
Tipos de Software
• Utilitário
▫ Softwares que oferecem recursos complementares aos que já existem no SO.
Ex:
VPN
▫ Hagamashi
Backup
▫ comodo,
▫ cobian, etc
9
Tipos de Software
• Aplicativo
▫ Finalidade de facilitar o trabalho do usuário na execução de determinadas
tarefas.
Ex:
Word
Excel
Powerpoint
Corel Draw
Project
Visio
10
Tipos de Malware
• Adware: normalmente é um aplicativo que exibe ou baixa sem autorização,
anúncios na tela do computador. Em muitos casos, esse malware vem incorporado a
softwares e serviços, como o MSN Messenger por exemplo. Não causam danos, na
maioria das vezes;
• Backdoor: é, na verdade, uma porta de entrada para malwares. “Porta dos fundos”
– traduzindo literalmente – são falhas no sistema operacional ou em aplicativos que
permitem que crackers tenham controle remoto sobre o equipamento infectado;
• Cavalo de Tróia – Trojan Horse: são softwares projetados para serem recebidos
como “presentes”, um cartão virtual, por exemplo. Porém, além de executar as
funções para as quais foram programados, eles executam outras sem o
conhecimento do usuário;
12
Tipos de Malware
• Keyloggers: capturam e armazenam as teclas digitadas no computador infectado.
Assim, as informações de um e-mail ou senhas bancárias, por exemplo, correm
riscos;
• Spywares: designa uma categoria de malwares que têm como objetivo principal
monitorar as atividades de um sistema, enviando os dados e as informações
coletadas;
Tipos de Malware
• Software de sabotamento de navegadores: Programas que modificam
informações sobre seus navegadores, criam atalhos no desktop e mostram
propagandas em pop-up. Uma vez sabotado, seu navegador pode te redirecionar a
outros sites maliciosos.
1999
2001
2007
2010
Fonte: oficinanet
Formas de Propagação
• Disquete - Vírus do setor de inicialização ("vírus de boot", no jargão) hoje estão
extintos, mas tiveram um reinado que durou de 1986 a 1995. Já que a propagação era
feita apenas por disquetes e de um computador para outro, níveis de infecção só se
tornariam altos meses ou anos depois de seu lançamento.
• E-mail - Quando o e-mail começou a ficar popular, porém, vermes que poderiam
causar epidemias globais em questão de um dia logo surgiram. O mais notável - e
também um dos primeiros - foi o Loveletter, ou ILOVEYOU, uma praga que fingia
entregar uma carta de amor ao internauta. Antes de ser controlado, em 1999, o
Loveletter causou prejuízos estimados em até nove bilhões de dólares, segundo a
empresa de segurança mi2g.
Formas de Propagação
• Compartilhamento de Rede - Em 2001, o tempo de propagação diminuiu de um dia
para uma hora com a chegada das pragas de rede, como o Blaster e o Sasser. Em uso
até hoje, as técnicas empregadas nesses dois worms ainda são copiadas nas ameaças
atuais.
• Cascata
Cascata é um virus que foi originalmente criado entre 1 de outubro e 31 de Dezembro de 1988.
Depois que um programa infectado é executado, caracteres na tela começam a cair em uma pilha
na parte de baixo da tela.
Histórico - 1989
• Aparece o Dark Avenger, que contamina programas rapidamente, mas o estrago
subseqüente acontece devagar, permitindo que o vírus passe despercebido por muito
tempo. IBM fornece o primeiro antivírus comercial e é iniciada uma pesquisa
intensiva contra as pragas eletrônicas.No início do ano, apenas 9% das empresas
pesquisadas sofreram um ataque de vírus. No final do ano, esse número saltou para
63%.
• Jerusalem (Variantes)
• Tequilla
Tequilla é um virus que infecta o Master Boot Record (MBR) da primeira unidade de disco rígido
(drive 80h, the C: drive) e arquivos .EXE. Ele utiliza uma avançada rotina de encriptação para que
sua detecção seja dificultada
Depois de infectar o MBR do HD, o Tequilla somente infecta arquivos .EXE nos 4 primeiros
meses. Depois disso, a cada 4 meses, o Tequilla mostra a seguinte mensagem:
• Concept.Fr.B
• W97M.Wazzu.AW
É um virus de macro que infecta documentos do Microsoft Word quando eles são abertos. Dentro
do arquivo infectado, palavras começavam a desaparecer e, no lugar dela, aparecia a palavra
“wazzu”.
Histórico – 1998
• Todos os Cavalos de tróia detectados como Backdoor/Trojan têm uma coisa em
comum: eles permitem acesso não autorizado ao computador infectado.
• O americano Robert Morris cria o Morris Worm, que é a primeiro vírus a se propagar
automaticamente em grande escala
• Backdoor.Trojan
È a detecção genérica de um grupos de cavalos de tróia que abrem uma “backdoor” e permite um
ataque remoto sem ter acesso autorizado ao computador comprometido.
Histórico – 1998
• BackOrifice
Back Orifice contem 2 partes: uma aplicação cliente e uma aplicação servidor. A aplicação cliente,
rodando em um computador, pode ser usada para monitorar e controlar um segundo computador
rodando a aplicação. A operações que o computador que tem a aplicação cliente pode fazer no
computador que tem a aplicação servidor são as seguintes:
Executar aplicações que estão no comoutador alvo
Armazenar “toques no teclado” do computador-alvo
Reiniciar o computador-alvo
Bloquear o computador-alvo
Ver o conteúdo de qualquer arquivo no computador-alvo
Fazer transferencia de arquivos entre os dois computadores
• NetBus
Similar ao BackOrifice.
Histórico – 1998
• Backdoor.Subseven
É um cavalo de tróia, similar ao Netbus e o Back Orifice, que habilita pessoas não autorizadas a
acessar seu computador através da internet sem o seu conhecimento. Em julho de 2003, a
Symantec Security Response recebeu “reports” que estavam enviando e-mail, em nome da
Symantec, informando um link para baixar e executar este Trojan.
From: SymantecMexico[update@symantec.com]
Subject: Urgente: Actualizacion Antivirus.
• Surge o vírus melissa, que complica o tráfego de e-mails em todo o mundo e causa
danos de mais de US$ 80 milhões!
• ILOVEYOU utiliza uma falha do outlook para se disseminar. O vírus I Love You se
alastra por email causando grandes congestionamentos. O filipino Onel de 23 anos é
preso e liberado, pois não havia leis contra hackers.
• O holandês Jan de Wint, 22 anos, é condenado a cumprir 150h de servicos por criar o
vírus Ana Kournikova que se esconde atrás de arquivos JPG.(Double Extensions)
• Os vírus SirCam, Ninda e Code Red usam o recurso de propagação automática para
congestionar sistemas de emails e tirar sites do ar! CodeRed I e II atingem 700000
servidores causando 2 bilhões de dólares em prejuízo estimado.
Este worm:
envia e-mail para ele mesmo:
Procura por compartilhamento de redes abertos
Tenta copiar-se para um servidor WEB Microsoft IIS que não esteja atualizado, ou seja,
vulnerável.
É um vírus que infecta tanto os arquivos locais como os arquivos remotos, via
compartilhamento de rede.
Quando o worm chega por e-mail, ele usa o MIME exploit permitindo que a ameaça seja lida ou
prévisualizada.
Se você visita um Web Server comprometido, você será perguntando se quer baixar um arquivo
.EML (Outlook Express) que contém o worm como um anexo.
Além disso, o worm irá criar um compartilhamento de rede no computador infectado, permitindo
acesso ao sistema. Durante o processo, o worm cria um conta de usuário convidado com os
privilégios do administrador.
Histórico - 2003
• Slammer derruba servidores SQL no mundo inteiro. (A correção havia sido
disponibilizada no site da Microsoft 6 meses antes do ataque.)
• O vírus Slammer consegue penetrar na rede principal da usina nuclear Davis Besse,
nos EUA. Como a usina estava desativada nada acontece.
W32.SQLExp.Worm is a worm that targets the systems running Microsoft SQL Server 2000, as well as Microsoft
Desktop Engine (MSDE) 2000. The worm sends 376 bytes to UDP port 1434, the SQL Server Resolution Service
Port. The worm has the unintended payload of performing a Denial of Service attack due to the large number of
packets it sends.
• W32.Blaster.Worm
W32.Blaster.Worm is a worm that exploits the DCOM RPC vulnerability using TCP port 135. The worm targets
only Windows 2000 and Windows XP machines. While Windows NT and Windows 2003 Server machines are
vulnerable to the aforementioned exploit (if not properly patched), the worm is not coded to replicate to those
systems. This worm attempts to download the msblast.exe file to the %WinDir%\system32 directory and then
execute it. W32.Blaster.Worm does not have a mass-mailing functionality.
We recommend that you block access to TCP port 4444 at the firewall level, and then block the following ports, if
you do not use the following applications:
The worm also attempts to perform a Denial of Service (DoS) on the Microsoft Windows Update Web server
(windowsupdate.com). This is an attempt to prevent you from applying a patch on your computer against the
DCOM RPC vulnerability.
Histórico - 2004
•O Sasser tirou o sono de muita gente: contaminava os usuários sem que eles precisassem fazer nada! Explorava falhas
no win 2000 e XP.
•Uma batalha também foi travada pelas gangues do Netsky e do Bagle, que criaram tantas variantes que esgotaram o
alfabeto.Outro que causou terror foi o Mydoon, que usa técnicas de engenharia social.Em uma hora contaminou 115 mil
máquinas e causou muita lentidão na rede.
•W32.Mydoom.A@mm
O W32.Mydoom.A@mm (também conhecido como W32.Novarg.A@mm) é um worm de distribução em massa.
O worm é recebido através de um arquivo de extensão .bat, .cmd, .exe, .pif, .scr ou .zip.
Quando o computador é infectado, o worm instala no sistema um backdoor, através da abertura das portas TCP
3127 até 3198. Isto permite que um hacker conecte-se ao computador e use o proxy para obter acesso aos recursos da
rede.
Além disso, o backdoor possui a capacidade de fazer o download e executar arquivos aleatoriamente.
Existe 25% de chance do computador infectado pelo worm executar um ataque de Negação de Serviço (Denial
of Service - DoS) a partir de 1° de fevereiro de 2004, iniciando às 16:09:18 UTC (14:09:18 horário de Brasília) baseado
na data e hora locais. Se o worm iniciar o ataque DoS, ele não se propagará através de e-mail. Embora a
atividade do worm seja interrompida em 12 de fevereiro de 2004, o backdoor instalado por ele continuará a funcionar
após esta data.
Histórico - 2004
• W32.Netsky.AC@mm
W32.Netsky.AC@mm é um worm que procura endereços de e-mail em todas as unidades de um
computador infectado (exceto nas de CD-ROM). O worm utiliza seu próprio mecanismo SMTP
para enviar cópias de si mesmo para os endereços de e-mail que ele encontra.
Os campos De, Corpo da Mensagem e anexo do e-mail variam. O anexo possui .cpl como extensão.
Essa ameaça é compactada com o PECompact.
• W32.Sasser.Worm
O W32.Sasser.Worm é um worm que tenta explorar a vulnerabilidade Microsoft Security Bulletin
MS04-011. Ele se propaga verificando endereços IP selecionados aleatoriamente de sistemas
vulneráveis.
Histórico - 2005
•W32.Sober.X@mm
O W32.Sober.X@mm é um worm de distribuição em massa que utiliza seu próprio mecanismo
SMTP para se propagar e também diminui a configuração de segurança do computador. Esse worm
envia cópias de si mesmo através de anexos de e-mail a todos os endereços coletados do computador
infectado. O e-mail pode estar em inglês ou em alemão.
Nota: Os produtos Symantec que possuem o recurso de Bloqueio de worms automaticamente
detectam esta ameaça no momento em que a mesma tenta propagar-se.
•W32.Zotob.E
O W32.Zotob.E é um worm que ativa um backdoor e explora a vulnerabilidade de estouro de buffer
do recurso Plug and Play do Windows (descrito em Microsoft Security Bulletin MS05-039) através da
porta TCP 445.
O W32.Zotob.E pode ser executado, mas não consegue infectar, computadores que executam
Windows 95/98/Me/NT4/XP. Embora computadores utilizando esses sistemas operacionais não
podem ser infectados, eles podem ser utilizados para infectar computadores vulneráveis aos quais
estão conectados.
Histórico - 2005
• W32.Beagle.AZ@mm
W32.Beagle.AZ@mm é um worm de distribuição em massa que também se propaga através de
redes de compartilhamento de arquivos. O e-mail terá assunto e anexo de nomes variáveis. O
anexo terá extensão .com, .cpl, .exe ou .scr.
• PWSteal.Bancos
O PWSteal.Banpaes é um Cavalo de tróia que tenta obter informações de acesso a bancos via
online.
Este Cavalo de tróia foi escrito em linguagem Delphi e compactado com UPX.
• W32.Bugbear.O@mm
W32.Bugbear.O@mm é um mass-mailing worm que abre backdoors no computador infectado.
•
• Win32/Rbot, Win32/Sdbot (ambos trojan com backdoor),
• Win32/Parite (virus),
• Win32/Gaobot (trojan com backdoor) e
• WinNT/FURootkit.
44
Histórico – 2006
• Vírus Storm Worm
Foi no fim de 2006, que os especialistas em segurança de computadores identificaram pela primeira vez o worm.
O público começou a chamar o vírus de Storm Worm porque uma das mensagens de e-mail tinha como assunto:
"230 mortos em temporal na Europa". Porém, as empresas de antivírus o deram outros nomes. Por exemplo, a
Symantec o chama de Peacomm e a McAfee refere-se a ele como Nuwar. Isso pode parecer confuso, mas já existe
um vírus, de 2001, chamado W32.Storm.Worm. Esse vírus e o worm de 2006 são programas completamente
diferentes.
O Storm Worm é um cavalo de Tróia. O seu payload é outro programa, embora nem sempre o mesmo. Algumas
versões desse vírus transformam os computadores em zumbis ou robôs. E quando são infectados, tornam-se
vulneráveis ao controle remoto da pessoa responsável pelo ataque. Alguns hackers utilizam o Storm Worm para
criarem um correio de botnet e usá-lo para enviar spam.
Muitas versões do Storm Worm enganam a vítima para que ela baixe o aplicativo através de links falsos para
notícias ou vídeos. O responsável pelos ataques geralmente muda o assunto da mensagem para refletir
acontecimentos atuais. Por exemplo, um pouco antes das Olimpíadas de Pequim 2008, uma nova versão do
worm apareceu em e-mails com assuntos como: "outra catástrofe arrasa a China" ou "o terremoto mais letal da
China". O e-mail dizia conter links para vídeos e notícias relacionadas ao assunto, mas na verdade, clicar no link
fazia ativar o download do worm no computador da vítima [fonte: McAfee (em inglês)].
(Fonte: http://tecnologia.hsw.uol.com.br/piores-virus-computador10.htm)
45
Atualmente
NOVO EXPLOIT BADUSB
Este exploit foi descoberto um grupo de hackers que planejam apresenta-lo durante a
conferência de segurança Black Hat em Las Vegas.
Mas o que exatamente ele faz e porque ele é tão difícil de ser removido? A própria
natureza do exploit BadUSB já o torna uma ameaça acima da média.
O BadUSB não infecta apenas os computadores, ele infecta praticamente qualquer
dispositivo USB conectado a ele. Isto inclui periféricos como webcams, teclados e outros
dispositivos baseados neste padrão de conexão. Outro detalhe é que ele também pode
infectar smartphones com Android.
Como o exploit se aloja dentro dos dispositivos USB, é praticamente impossível removê-
lo sem adotar medidas extremas. Isto inclui desmontar o dispositivo e usar engenharia
reversa.
Usar um antivírus para remover o BadUSB também é inútil, já que o exploit afeta o
firmware dos dispositivos USB. Por esta mesma razão, a formatação de um pendrive
USB infectado não resolve o problema.
Vale destacar que os dispositivos USB fazem mais do que apenas permitir a conexão ao
computador. Eles também permitem o acesso ao hardware e software instalado.
46
Atualmente
FALHA CRÍTICA QUE PERMITE CAPTURA DE IMAGEM SEM USUÁRIO SABER
Szymon criou uma aplicação que captura fotos e faz upload delas em um servidor
remoto sem consetimento do usuário. O sistema operacional do Google tem uma falha
crítica que permite captura de imagem sem usuário saber – e mesmo quando a tela
está apagada(!), situação que ocorre depois de um tempo sem uso do aparelho.
Fonte: http://www.baboo.com.br/hardware/mobile/android-tem-falha-critica-que-permite-captura-de-imagem-sem-
usuario-saber/
47
O que fazer?
• Antivirus e Firewall
▫ Escolher um antivírus de reputação e habilitar o firewall
para dificultar a abertura de backdoors
• Atualizações
▫ Estar em dia com as atualizações de segurança e críticas
• Desativar serviços não utilizados
▫ telnet, vpn, ftp, IIS, etc
• Cuidado ao utilizar o computador
▫ Ser crítico ao clicar em sites, abrir e-mails ou aceitar
anexos dos Instant Messengers
• Usar usuário restrito
▫ Não usar o usuário administrador para tarefas rotineiras
48
Referências
• http://info.abril.com.br/noticias/blogs/download-da-hora/windows/6-aplicativos-para-
desfragmentar-e-otimizar-o-disco-rigido-do-pc/
• http://www.microsoft.com/pt-br/security/pc-security/protect-pc.aspx
• http://www.oficinadanet.com.br/post/10977-o-que-e-virus-de-computador
49
Dúvidas??
• E-mail: andre.cesar@gmail.com