APRESENTAÇÃO:

Nuno Palhares-Falcão
ESPECIAL ESPECIALISTA EM ESPECIALIZAÇÕES DE ESPECIALÍSSIMA
ESPECIALIDADE ESPECIALMENTE ESPECIALIZANTE
Artista de Sit Down Comedy (porque já é tempo do
Humor ser feito sentado)!
Já estou farto de Stand Up Comedy deprimente!
Comigo, a única coisa que se levanta, fica na
Horizontal!

O SIS não me mete medo!

A mim ninguém me cala!
Liberdade com Responsabilidade!

Dicionários são para quem não conhece as palavras

Livros são para quem não conhece os conteúdos
Bibliografias são para quem não conhece os livros
 VÍRUS INFORMÁTICOS

VIROLOGIA DIGITAL, PARA PROTEGER PORTUGAL!!!

 Trojans, Worms, RATS
Pests (Annoyances), Jokes, Browser Hijackers
Spyware, Adware, Java Sript (Cross-Site/XSS)
OS VÍRUS INFORMÁTICOS Key-loggers
Bots (DoS, DDoS, DRDoS, etc)

QUANTAS Macros

“FAMÍLIA RAM Virus, BIOS/UEFI Residente, Polymorphico

Rootkit, Bootkit, Boot Sector
S”? Direct Action
Passivos
Desencriptadores (Passwords)
Encriptadores (Hostage/Ransomware)
Personalizados
OS VÍRUS INFORMÁTICOS  Muito resumida e eficazmente, um
Vírus é um programa malicioso que é
Basicamente, todos
esses que vimos executado num qualquer sistema
acima são Vírus. operativo, com a sua classificação
específica a ser feita em função do
E o que é um Vírus? Objectivo, Método ou Área de
Afectação (Física e/ou Digital).
  Os "Cavalos de Tróia", são incorporados de forma oculta em
programas ou imagens e vídeos, que são executados e
instalados quando o ficheiro é aberto, imediatamente
infectando o Sistema e permitindo o Controlo e Acesso Remoto
TROJANS ao autor do envio/software, que passa a poder aceder-lhes
sempre que pretenda, independentemente do local e rede a que
essa máquina esteja ligada, transformando um PC Cliente, num
Servidor Pessoal.
  As "minhocas" que se infiltram nos livros de
endereços e se auto-enviam a partir daí e do
endereço de email pré-definido nessa
máquina, para todos os contactos de email
WORMS que nesses livros de endereços constem,
potencialmente infectando todas as
máquinas a que esses endereços de email
acedam
  Ferramentas de Administração Remota, permitem
que quem as tenha enviado e/ou instalado tenha total
acesso à máquina infectada, que passa a ser um
Servidor de onde toda e qualquer informação possa

RATS: de lá ser retirada, ou alterada, eliminada, etc, bem

como também lá colocada, podendo inclusive servir
para o cometimento de Crimes, com a Incriminação a
ser ao proprietário da máquina e não ao verdadeiro
Criminoso (isto num caso-limite)
  São aqueles que levam a que o Sistema
Operativo execute uma determinada
rotina a cada X tempo, ou de cada vez
Pests que se prima determinada tecla, ou se
/ aceda a determinado site ou tipo de
Annoyances: site, basicamente, são inofensivos,
apenas são Chatos e Irritantes, mas de
fácil Remoção
  Basicamente, a mesma coisa dos anteriores,
com a diferença de que é suposto
comportarem-se de forma humorística, por
exemplo, soltando uma gargalhada de cada

JOKES vez que se usar o !, ou de cada vez que uma

sequência de caracteres (como porn, ou

: qualquer outra) seja usada.

 É assim como se fosse uma espécie de
Papagaio Digital, que diz ou faz qualquer
coisa, de cada vez que o “estímulo” pré-
programado é activado.
  Redefinem a Página-Base e/ou Motor de
Busca e/ou aínda Controlos do Browser e/ou
Controlos Parentais, podendo inclusive
restringir/bloquear acesso a determinados
Browser- sites, redireccionando para sites maliciosos
Hijackers: de descarga de mais e variado malware de
execução automática, que podem causar
todo o tipo de infecções e vulnerabilidades de
Segurança.
  Instala software-espião que permite
saber os hábitos do utilizador-alvo,
sejam de utilização do browser, do

SPYWA software de que ele faça parte

integrante, da Lista de Contactos, do
RE tipo de Serviços Acedidos, entre
muitas outras coisas, incluindo o tipo
de dispositivos e serviços
sincronizados.
  Instala software que provoca a
apresentação de, por vezes, a
incessante abertura de pop-ups
Adwar publicitários, muitos deles com

e
mais Adware, Spyware, Browser
Hijackers, Cross-Site Scripting
(veremos já de seguida o que é),
etc.
  São em linguagem Java, executado a partir
Java- do próprio site onde se está, ou a partir de
um site secundário a executar no site onde se

Script e está, normalmente através de iFrame, uma

espécie de janela dinâmica integrada, que

XSS: era uma das maiores vulnerabilidades de

Segurança em browsers mais antigos.
 Key-
 Software que regista todas as teclas
premidas no teclado, sendo que alguns têm
aínda a capacidade para especificar por

Logger Programa e Site, o que é crítico, para ter

acesso a Passwords e Credenciais de Acesso,

s: com todas as NEFASTAS consequências

(incluindo Criminais) que podem daí advir.
  Executam comandos em segundo plano no Sistema
Operativo, a favor do autor desse bot, como sejam envio
de Informação de Segurança, ou até para fazerem parte
de Acção Criminosa de Cyber-Ataques a determinadas
Redes e/ou Sites, o que, de acordo com a Legislação (como
a Portuguesa e outras), são considerados Ataque
Terrorista, desde logo quando visem a Rede do Estado, da

BOTS: Justiça, da Imprensa, de Tele-Comunicações.

 Essas acções criminosas são, normalmente, através de
ataques DoS, DDoS e DRDoS, visando todas elas a
Negação de Serviço, ou seja, tornarem determinados sites
e/ou redes inacessíveis.
 Da mesma forma, também podem ser para causar a
Negação de Serviço a uma máquina dentro de uma Rede
ou a toda a Rede.
  Essencialmente ficheiros do
Office ou com Inter-Acção com o
Office, que permitem a execução
MACR de Macros programadas para

OS: executar código malicioso e/ou

para o descarregar de sites onde
ele esteja alojado, para diversos
fins, todos eles maliciosos.
  É o tipo de vírus que, quando em

RAM
execução, ocupa também a RAM e
que pode ocupá-la quase por

VÍRU
inteiro, ou mesmo apenas nela se
alojar e a partir dela actuar, não

S: apenas causando extrema

Lentidão nos sistemas, como
também evitando a Detecção.
  Ao contrário dos vírus RAM (que é limpa de cada vez que se desliga
o computador, embora possa ser novamente carregado se o vírus se
activar juntamente com o Windows, no Arranque Automático), os
vírus de BIOS/UEFI são ali Residentes e, para estes, não há Anti-

BIOS/
Vírus, nem Anti-Malware que resolva, só mesmo actuando
directamente nela, normalmente abrindo a máquina, desligá-la da
corrente, remover a pilha, deixar uns minutos "em repouso" e

UEFI depois voltar ligar e fechar, redifinir a BIOS e arrancar o Sistema.

 Em UEFI é mais complexo, devido à sua Natureza e Arquitectura,

Vírus: basicamente desenhada para ser "Blindada" e manter a sua

Integridade, mas também se consegue resolver, quanto mais não seja
empregando o método anterior e trabalhar directamente na UEFI,
repondo as Definições de Fábrica, ou conforme as especificidades de
cada fabricante e respectivo Manual de Instruções, podendo até, em
casos-limite, ter de ir a Laboratório.
  É usado Código Polimórfico para alterar
a "pegada" do programa e assim evitar a
Polymorphi Detecção, o que dificulta muitíssico a
c: qualquer anti-vírus, quer a tarefa de os
identificar, quer, claro, a de os remover.
 Infecta o disco e/ou a BIOS,
Rootki desde logo o Arranque
t: Automático do Windows.
  Uma espécie de "modernice" de software
malicioso incorporado noutro, muitas vezes
Bootkit associado a rootkits, inclusive com

: ferramentas rootkit para evitar a Detecção,

que é especial fonte de risco e ameaça crítica
de Segurança para as Empresas.
  Tornam a máquina inutilizável, ao corromperem o Sector
de Arranque, que é o responsável por indicar ao Sistema
Operativo que pode carregar e qual a sua correcta
localização no Sistema.

Boot  Normalmente, é instalado/difundido, através do uso de

pens USB, activados automáticamente quando essa pen é
inserida (tirando partido das definições de Auto-

Sector Reprodução do Windows, que NUNCA deve estar

activada).

:
 Muitas vezes, todavia, a pen é usada como dispositivo de
arranque, ou seja, insere-se a pen, reinicia-se a máquina
com a pen inserida e é ai que se dá a infecção, também
muitas vezes directamente logo na BIOS.
 Aínda assim, esta não é a única forma e pode ser a partir
de qualquer tipo de dispositivo e/ou a partir de software.
  É por Acção Directa do próprio utilizador, que abre

Direct um ficheiro anexo, aparentemente inóquo e que se

mantém "dormente" até ser "acordado“, por exemplo,

Actio até ser efectuada uma determinada, ou quando

determinada contagem-regressiva pré-determinada
chega ao fim, enfim, ao critério de quem programou,

n: sendo que o vírus é executado e a infecção é imediata

assim que o anexo é aberto.
  São aqueles que não têm qualquer acção
negativa, nem activa, no Sistema, mas que
mantêm aberta uma porta para que, a
qualquer momento, deles seja retirada
qualquer informação, ou se dê a monitorização

Passiv de Comunicações (o famoso telemóvel-espião, a

intercepção e escuta de chamadas, a obtenção

os: de imagens a partir da câmara, conversas

privadas, etc), como costuma(va)m fazer NSA,
CIA, MI5, MI6, BND, SCIS, CNI, Mossad,
FSB e SVR (KGB na Bielo-Rússia), SAVAK,
MSS, ISI, etc, umas mais do que outras e mais
ou menos amiúde do que outras…
  Tipo de software malicioso que permite ver quais
as passwords que estão alojadas naquela máquina,
sejam do Windows, do Office, Outlook, sites,
enfim, toda e qualquer uma, o que depois pode ser
utilizado para todo o tipo de actividades ilícitas,
Desencriptadore crimes (desde logo o Roubo de Identidade), etc.
s:  ATENÇÃO: Há Ferramentas destas que são
Lícitas e Legítimas, por exemplo, aquelas que
usamos nas nossas próprias máquinas, para
recuperar Acessos ou Credenciais de Acesso, no
entanto, 98% delas NÃO SÃO!
  São aqueles usados para impedir o acesso a determinadas
bases de dados, ficheiros, sites, ou mesmo redes e
máquinas, como é o caso do chamado Ransomware, com o
intuito de EXTORQUIR os seus proprietários/utilizadores.
 ATENÇÃO: Há aqueles que são Lícitos e Legítimos, desde
Encriptadore logo aqueles que permitem a Encriptação de Informação

s: Classificada, Credenciais de Acesso, Cartões de

Identificação, etc, como os usados pelo GNS, pela
AMA/INCM/IRN e outros, o que NADA tem a ver com os
acima identificados, pois os de cima são para EXTORSÃO,
enquanto os Legítimos são para SEGURANÇA e
PROTECÇÃO!
  Por serem personalizados, os anti-vírus não têm
resposta para este tipo de infecção e a detecção e
remoção têm de ser efectuadas manualmente,
Personalizados sabendo-se onde procurar e como remover,
: conforme os vários despistes que vão sendo feitos
na máquina, com ela a correr normalmente e
DESLIGADA da Net.
SOFTWARE ANTI-MALWARE
  Pagos
O QUE E COMO ESCOLHER?
 Gratuitos
 "Freemium“ (Gratuitos, mas com funcionalidades
extra que são Pagas)
MODALIDA  Base, Advanced, Pro, etc, há várias denominações
DES: com cada uma delas a corresponder a
determinadas funcionalidades e diferentes
montantes de subscripção
 Como em todo o tipo de Software, claro, uns são
mais eficazes do que outros.
  Norton/Symantec: Mais Falsos-Positivos do que Detecções
Reais, super-pesado e lentidão no Sistema
 McAfee: Idem
 Panda: Idem
 AVG: Não causa lentidão, não é pesado, mas também só

A ocupa espaço e pouco mais

 Kaspersky: É russo e, como tal, uma AMEAÇA DE

Evitar: SEGURANÇA a sua instalação.

 TrendMicro/PC-Cillin: Em sistemas que não sejam
ligeiramente abaixo de Topo de Gama (quase interditos à
esmagadora maioria dos Portugueses e mesmo de muitas
empresas e Administração Pública), podem ficar lentos, mas
é dos melhores e de Extrema Eficácia, é possível usar um
Scan Online, através do seu site HouseCall.
  Cada vez mais são utilizadas soluções do tipo Internet Security ou
Internet Suite, que são mais do que um simples anti-vírus e
incluem Firewall, Anti-Spyware, Anti-Ransomware, Protecção
Anti-Phishing, Encriptação de Mail e Dados Bancários, etc, etc,
etc)

ANÁLI  Isto quer dizer que, para acomodarem tanta coisa,

SE:
necessariamente, são de tamanhos enormes a ocupar o Disco.
 Depois, dada a complexidade dos seus Códigos-Fonte e Definições e
Bases de Dados e etc que o compõem, os riscos de haver bugs e/ou
falhas críticas, aumenta exponencialmente, o que, ironicamente,
oferece menos Segurança do que aquela que é indicada e que seria
suposto realmente oferecer.
  Pessoalmente, prefiro soluções Stand-Alone (simples Executáveis que não
necessitam de Instalação) para cada tipo de Ameaça.
 RKill para detectar eventuais Rootkits, JRT para remoção de Junkware (o
chamado Lixo Electrónico, ou os "restos" de pastas, ficheiros e chaves de
Registo do Windows que ficam para trás depois de desinstalado
PREFERÊNCIAS: determinado Software), ADWCleaner para todo o tipo de Adware, são
alguns dos que mais regularmente uso.
 Além do mais, há sites que fazem, gratuitamente, a Pesquisa Online, como o

SOLUÇÕ HouseCall da TrendMicro

https://www.trendmicro.com/en_us/forHome/products/housecall.html (para

ES:
Windows, MAC e Rede Doméstica).
 Comparando à Gastronomia, para que quero eu uma gigantesca cozinha
industrial, se apenas vou utilizar um pequeno fogão e uma bancada para
servir Bifanas no Pão?
 Para scans de ficheiros individuais, o recomendado (até pelo Gabinete
Nacional de Segurança, SEGNAC, Centro Nacional de Cyber-Segurança,
etc) como Procedimento e Protocolo de Segurança é carregar o ficheiro para
o site VirusTotal https://www.virustotal.com/gui/home/upload, onde se vai
poder cruzar a informação de inúmeros anti-vírus relativamente a esse
 A ÚNICA FORMA DE NÃO SE SER
PIRATEADO É NÃO ESTAR LIGADO
 Para além do Anti-Vírus e Anti-Malware, efectivamente, é essencial a
A QUALQUER REDE!!!
utilização de Firewall Bi-Direccional FIDEDIGNO, que seja baseado em
Aplicação e NÃO em Porta-Protocolo.
MUITO NEGLIGENCIADO:
 Firewall que permita, rápida e seguramente, a sua Configuração e
DESACTIVAR a opção de cada aplicação poder Agir como Servidor.
 Só o facto de se impedir que uma qualquer Aplicação possa Agir como

SEGURANÇA
ADICIONAL:
 No que toca a Passwords e sua Protecção, o recomendado é usarem-se
Nuno Palhares-Falcão
*Certificação ANS/GNS em Segurança de Informação
Classificada
*Certificação em BYOD, Cyber-Segurança, Gestão de
Passwords, Risco, Privacidade, Fraude, etc.
*Certificação em Classificação e Medidas de Protecção,
Protecção e Incidentes, Segurança, etc.
Servidor, já se está a evitar que, através dela e das portas e protocolos por
ela usados, possa saír das nossas máquinas qualquer informação que seja,
é uma Medida Simples de Segurança Preventiva.
Password Managers, para se ficar a salvo dos Desencriptadores (desde
logo os BruteForce), ou mesmo para evitar que as mesmas sejam obtidas a
partir de ficheiros de texto desprotegidos onde as mesmas possam estar
anotadas, pois será o equivalente a entregarmos sabe-se lá quantas cópias
das nossas chaves de casa a sabe-se lá quanta gente...!