MALWARE E VIRUS

Explicação
Veremos os diferentes tipos de malware e o que eles
fazem. Ao realizar uma análise de malware estática ou
dinâmica, é essencial ter uma boa compreensão dos diferentes
tipos de malware disponíveis para que você possa reconhecê-
los e concentrar sua investigação. Durante a análise estática
de malware, as DLLs e as funções importadas geralmente nos
dizem muito sobre as intenções e o comportamento do
malware. Por exemplo, quando o malware importa funções de
rede junto com funções para editar as funções de registro do
Windows, podemos estar lidando com spyware, trojan ou
outro malware na inicialização. No caso mais simples de DLLs
importadas estaticamente, você pode usar um aplicativo como
o Dependency Walker para descobrir quais funções são
usadas no malware. Uma inspeção mais detalhada das
funções, cabeçalhos e recursos da DLL deve restringir muito
os possíveis tipos de malware. Vamos analisar os diferentes
tipos de malware disponíveis e o que exatamente eles fazem.

Adware
Adware como malware é um software malicioso que
apresenta publicidade indesejada ao usuário. Esse tipo de
malware geralmente usa janelas pop-up que não podem ser
fechadas pelo usuário. Adware é frequentemente incluso em
softwares grátis e nas barras de ferramentas do navegador
(famosas toolbar). O malware também pode coletar dados de
usuários, suas atividades e outras informações, entrando um
pouco no tipo spyware.

Backdoor
Um backdoor é um código malicioso que permite que um
invasor se conecte ao alvo infectado e assuma o controle do
computador sem sua autorização. Na maioria dos casos, não é
necessária autenticação para efetuar login na máquina
MALWARE E VIRUS
Explicação
remota. Além disso, esse tipo de malware é frequentemente
gerado por um Trojan que passa despercebido se o host não
tiver mecanismos de detecção eficazes, como firewalls e
antivírus. Os backdoors podem usar muitos métodos para se
comunicarem, mas usa principalmente a porta 80 já que essa
porta está aberta na maioria das máquinas conectadas à
Internet. Referente a esse malware, existem dois principais
tipos: o shell reverso e o Acesso Remoto / Ferramenta de
Administração (RAT).

Shell reverso
Um shell reverso é uma conexão iniciada a partir do host
infectado e fornece ao hacker acesso ao host pelo shell. O shell
reverso é geralmente criado por um cavalo de Troia,
funcionando praticamente como um backdoor. Depois que o
shell reverso for configurado, o invasor tem a possibilidade de
executar comandos como se fossem executados localmente.
Os métodos comumente usados para shells reversos são o
Netcat e o Windows CMD compactados dentro do malware.
Um método simples usado por malware usando o Windows é
criar um soquete para estabelecer uma conexão com o invasor
e vinculá-lo aos fluxos padrão (entrada, saída e erro padrão)
para o CMD. Assim o CMD é executado com a janela oculta
da vítima e assim os comandos são executados sem a
percepção do usuário que está sendo atacado.
MALWARE E VIRUS
Explicação

RAT - Trojan de acesso remoto

Um RAT (Remote Access Trojan), ou às vezes chamado de
Remote Administration Tool ou Remote Access Tool, é uma
ferramenta que permite um invasor assumir o controle total
do computador infectado. Essa é uma das ferramentas com o
caráter mais malicioso, sendo comumente incluídos em cracks
baixados na internet ou aqueles phising enviados por e-mail
com um link de download do server malicioso.

Botnet
Uma botnet é uma rede de computadores com backdoors que
estão sendo controlados por um servidor de comando e
controle. Todos os hosts infectados na rede são controlados
como um grupo e recebem as mesmas instruções do servidor
que é controlado pelo invasor. As botnets são frequentemente
usadas para enviar spam, executar ataques distribuídos de
negação de serviço (DDoS) ou distribuição de malware.

Browser Hijacker
Um sequestrador de navegador é um código desenvolvido
para controlar as configurações do seu navegador, como a
página inicial, por exemplo, ou o provedor de pesquisa
padrão. Os sequestradores de navegador geralmente são
MALWARE E VIRUS
Explicação
incluídos em programas gratuitos. Uma vez instalado, as
barras de ferramentas dos navegadores podem ficar poluídas
visualmente e no final das contas ainda ter um adware ou
spyware escondido. Alguns sequestradores de navegador
também alteram as configurações de proxy do seu navegador,
o que compromete sua privacidade e segurança on-line.

Downloader Malware
O malware do download é um software malicioso que baixa
outros softwares maliciosos. O malware do download infecta a
máquina de destino silenciosamente através de instaladores
não oficiais. Por exemplo, você está procurando o programa
qualquer, como o Ccleaner, e então você baixa o programa de
um site não oficial. Ao executar o programa, o mesmo afirma
que será baixado o Ccleaner online, mas juntamente com o
programa desejado é baixado um malware oculto.

Malware de Roubo de Informações

O malware de roubo de informações é uma coleção de tipos de
malware desenvolvidos para roubar informações como
números de cartão de crédito, detalhes de contas bancárias,
detalhes de contas e outras informações pessoais. As
informações coletadas geralmente são enviadas ao invasor que
geralmente as usa para obter acesso à sua conta pessoal ou
colocá-las à venda na dark web / deep web. O malware
geralmente vem na forma de keyloggers, senhas (hash) e
sniffers. As informações roubadas geralmente são enviadas
para um servidor de comando ou controle para
processamento adicional.

Keyloggers
O keylogger é um software (ou hardware) malicioso que
registra as teclas digitadas para roubar senhas, conversas e
MALWARE E VIRUS
Explicação
outros detalhes pessoais. Um keylogger é uma maneira muito
eficaz de os invasores roubarem senhas, porque não há
necessidade de quebrar hashes, descriptografar informações
ou farejar conexões seguras para senhas, pois todas as teclas
digitadas são enviadas para o atacante.

Malware Lançador
Um lançador é um código malicioso usado para iniciar outro
malware. Esta parte do software malicioso é frequentemente
combinada com o malware do download. O malware lançador
geralmente usa métodos furtivos e não convencionais para
iniciar outro código malicioso e assim evitar a detecção.

Ransomware
Tecnicamente falando, todo malware que impede o usuário de
acessar o computador ou arquivos e exigir dinheiro em troca
de acesso é chamado de ransomware. O ransomware
geralmente criptografa seu disco rígido ou arquivos e exige
dinheiro em troca da chave de descriptografia. Esse tipo de
ransomware também é chamado de crypto locker. Após a
infecção, o ransomware apresenta ao usuário alguns métodos
de pagamento que podem ser usados para desbloquear o
computador ou descriptografar os arquivos. Se o ransomware
ou o crypto locker realmente desbloquearem seu disco rígido
ou arquivos, as chaves de descriptografia e o pagamento
geralmente serão controlados por um servidor de comando e
controle.
O ransomware se tornou cada vez mais popular, pois é
altamente lucrativo para desenvolvedores de malware.
Especialmente em combinação com métodos de pagamentos
anônimos como monero ou bitcoin (menos seguro, já que é
rastreável), minimizando os riscos de serem pegos.
MALWARE E VIRUS
Explicação
Rootkit
Um rootkit é um software malicioso projetado para ocultar a
existência de outro malware. O malware oculto é geralmente
um backdoor para fornecer acesso total ao invasor. Os
rootkits podem ser difíceis de detectar e remover com base em
onde reside dentro do sistema operacional. Os rootkits no
nível do firmware, por exemplo, podem requerer substituição
de hardware e os rootkits no nível do kernel podem exigir
uma nova instalação do sistema operacional.

Bootkit
Outro perigoso e quase impossível de detectar é o bootkit. O
bootkit é um rootkit escondido no setor de inicialização que
infecta o Master Boot Record (MBR). Esse tipo de rootkit é
capaz de ignorar a criptografia da unidade, já que funciona
através de um código que é executado antes do sistema
operacional.

Scareware
Scareware é um software malicioso que obriga a vítima a
comprar algo assustando-o, pois geralmente inclui vírus ou
arquivos embaraçosos. Um dos scarewares mais comum são
aqueles que "parecem" um antivírus, dizendo que detectou
alguns vírus no seu computador e só poderão ser removidos
após comprar o suposto antivírus. Por causa dessas táticas,
muitas vítimas pagam pelo software para que o vírus ou
outros materiais embaraçosos sejam removidos
silenciosamente. Um malware de "proteção" ou chantagem
funciona mais ou menos como um ransomware, além de ser
muito lucrativo para esses desenvolvedores.

Spam
MALWARE E VIRUS
Explicação
O Malware de Spam é um software mal-intencionado que usa
a máquina ou contas (facebook, whatsapp, por exemplo)
infectadas para enviar spam. O malware de envio de spam
pode fazer parte de uma botnet controlada por um servidor
de comando ou controle funcionando como uma rede
distribuída de envio de spam. Por causa da abordagem
distribuída, não há um único ponto de falha, se ¼ das
máquinas infectadas forem limpas, outros ¾ continuará
enviando e-mails de spam. Grandes botnets podem enviar
bilhões de mensagens de spam por semana e, com muita
frequência, novos malwares são espalhados junto com as
mensagens de spam.
O envio de malwares por spam pode causar problemas, pois a
conexão com a Internet do ISP pode ser cortada ou o
endereço de e-mail pode estar na lista negra, por isso, remova
esse tipo de malware o mais rápido possível. Esse tipo de
malware é lucrativo para desenvolvedores de malware porque
eles podem vender os serviços de envio de spam.

Trojan
Um Trojan ou um cavalo de Troia é uns dos malwares mais
perigosos, pois funcionam como um backdoor, com o intuito
de roubar informações, disseminar outros malwares ou usar
os recursos da máquina infectada em um botnet.
Literalmente, tudo é possível quando infectado por um
Trojan que foi instalado ou executado com privilégios de
administrador. Trojans na computação existem há muito
tempo, alguns cavalos de Troia antigos e populares são:
Netbus, SubSeven ou Sub7 e Back Orifice ou BO

Vírus
Um vírus é um programa malicioso que se replica em outros
aplicativos, arquivos ou até mesmo no setor de inicialização.
Um vírus pode fazer qualquer coisa que seja programado,
MALWARE E VIRUS
Explicação
podendo roubar informações, registrar teclas digitadas ou até
mesmo inutilizar um computador. A característica definidora
de um vírus está na autorreplicação e inserção de código
malicioso em outros programas sem o consentimento do
usuário. Assim como a maioria dos outros malwares, um vírus
é projetado para obter lucro.

Worm
Um worm é um malware que se replica para espalhar e
infectar outros sistemas. Os worms de computador usam a
rede, links, redes P2P, e-mail e exploram vulnerabilidades
para se espalharem. Muitas vezes, mais de um malware é
usado para espalhar o worm. A diferença com um vírus é que
um vírus insere código em outros programas, já o worm se
replica sozinho.