Códigos Maliciosos (Malware)

Disciplina: Redes de Compartilhamento de Internet.

Ministrada por: Prof. Ricardo Santana

Apresentação: Danilo André Bueno

Noemi Andreza da Penha
 Vírus

 Um vírus de computador é um programa

pequeno desenvolvido para prejudicar um
sistema informático, sem a permissão ou o
conhecimento do seu usuário;

Fonte: Cartilha de Segurança para Internet

 Como um vírus pode afetar um
computador?
Alguns exemplos:
 através de e-mails, programas-piratas, sites de origem duvidosa;
 ter alguma mídia removível (infectada) conectada ou inserida no
computador, quando ele é ligado;
 abrir arquivos do Word, Excel, etc.

Fonte: Cartilha de Segurança para Internet

 O que é um vírus de macro?

 Infectam através da execução dos

aplicativos do Microsoft Office: Word,
Excel, PowerPoint e Access.

 Usam a linguagem de programação

interna do programa, que foi criada para
permitir que os usuários automatizem
determinadas tarefas neste programa.

Fonte: Cartilha de Segurança para Internet

Maneiras de proteger um computador
de vírus

 instalação de programa de Antivírus e devem

sempre serem atualizados, caso contrário não
detecta os vírus recentes ;
 cautela na abertura de e-mail;
 arquivos enviados por destinatário desconhecido;
 desabilitar no seu programa leitor de e-mails a auto-
execução de arquivos anexados às mensagens.

Fonte: Cartilha de Segurança para Internet

 Vírus de telefone celular
 Diferem-se dos vírus tradicionais, pois normalmente
não inserem cópias de si mesmos em outros arquivos
armazenados no telefone celular, mas podem ser
especificamente projetados para sobrescrever
arquivos de aplicativos ou do sistema operacional
instalado no aparelho.
Ocorre a contaminação através das tecnologias de:
 Bluetooth;
 MMS;

Fonte: Cartilha de Segurança para Internet

 Como posso proteger um telefone
celular de vírus?
 mantenha o bluetooth desabilitado e somente habilite-o
quando for necessário;
 não aceite arquivos enviados por terceiros;
 fique atento às notícias veiculadas no site do fabricante do
seu aparelho, principalmente àquelas sobre segurança;
 caso você tenha comprado uma aparelho usado, restaure as
opções de fábrica.

Fonte: Cartilha de Segurança para Internet

 Cavalos de Tróia (Trojan Horse)

Conta a mitologia grega que o "Cavalo de Tróia"

foi uma grande estátua, utilizada como
instrumento de guerra pelos gregos para obter
acesso a cidade de Tróia. Um cavalo de madeira
preenchida com soldados que, durante à noite,
abriram os portões da cidade possibilitando a
entrada dos gregos e a dominação de Tróia. Daí
surgiram os termos "Presente de Grego" e "Cavalo
de Tróia"

Fonte: Cartilha de Segurança para Internet

 Cavalos de Tróia (Trojan Horse)

 são impostores - arquivos que afirmam ser

desejáveis mas, na verdade, são mal-
intencionados;
 tem o objetivo de roubar certos dados e
enviar para seu criador;
 cartão virtual, álbum de fotos, protetor de tela, jogo, etc;
 consiste em um único arquivo que necessita ser
executado.

Fonte: Cartilha de Segurança para Internet

 Danos causados pelo Cavalo de Tróia

 instalação de keyloggers ou screenloggers;

 furto de senhas e outras informações sensíveis;
 inclusão de backdoors, para permitir que um
atacante tenha total controle sobre o computador;
 alteração ou destruição de arquivos.

Fonte: Cartilha de Segurança para Internet

Como um cavalo de tróia se instala em
um computador
 Sendo necessário que seja executado para que ele se
instale em um computador;
 Geralmente um cavalo de tróia vem anexado a um
e-mail ou está disponível em algum site na Internet;
 o antivírus será capaz de detectar ou remover os
programas deixados por um cavalo de tróia,
principalmente se estes programas forem mais
recentes que as assinaturas do seu antivírus.

Fonte: Cartilha de Segurança para Internet

Maneiras de proteger um computador
dos cavalos de tróia

 Ações preventivas contra a instalação de cavalos

de tróia são semelhantes às medidas contra a
infecção por vírus;

 Uma outra medida preventiva é utilizar um

firewall pessoal. Alguns firewalls podem bloquear
o recebimento de cavalos de tróia

Fonte: Cartilha de Segurança para Internet

 Adware e Spyware
Adware (Advertising software) é um tipo de software
especificamente projetado para apresentar propagandas,
seja através de um browser, ou através de algum outro
programa instalado em um computador.
Spyware é o termo utilizado para se referir a uma grande
categoria de software que tem o objetivo de monitorar
atividades de um sistema e enviar as informações
coletadas para terceiros.

Fonte: Cartilha de Segurança para Internet

 Adware e Spyware

 São programas instalados em seus

computadores, sem sua permissão;

 Tem o intuito de roubar informações

Fonte: Cartilha de Segurança para Internet

 Como proteger um computador de
programas spyware
e adware
 o uso de "anti-spyware”;
 outra medida preventiva é utilizar um firewall
pessoal;
 Além disso, se bem configurado, o firewall pode
bloquear o envio de informações coletadas por estes
programas para terceiros.

Fonte: Cartilha de Segurança para Internet

 Backdoors ( Porta dos Fundos)

 São programas se instalam em ambiente de serviço

de um computador, tornando-se acessível a
distância, permitindo o controle da máquina sem
que o usuário saiba.

 Possibilitando ao invasor qualquer ação, como:

ler seus e-mails, ver seus arquivos, copiar sua
senhas, conectar via rede com outros
computadores e etc.
Fonte: Cartilha de Segurança para Internet
 A inclusão de um backdoor em um
computador
 Pode ser incluído por um invasor ou através de um cavalo
de tróia;
 Podem ser executados por diversos sistemas operacionais,
por exemplo: Windows, GNU/Linux entre outros;
 E a instalação de pacotes de software, tais como o
BackOrifice e NetBus, da plataforma Windows, Se mal
configurados ou utilizados sem o consentimento do usuário,
podem ser classificados como backdoors.

Fonte: Cartilha de Segurança para Internet

Maneira de proteger um computador
de backdoors
 não abrir e-mail de destinatários desconhecido;
 utilização de um firewall pessoal. Apesar de não
eliminarem os backdoors, se bem configurados,
podem ser úteis para amenizar o problema;
 jamais executar programas que não tenham sido
obtidos de fontes confiáveis

Fonte: Cartilha de Segurança para Internet

 Keylogger
Definição:

 histórico de teclas usadas;

 teclas que você geralmente usa para definir a sua

senha;

 Keylogger é um programa capaz de capturar e

armazenar as teclas digitadas pelo usuário no
teclado de um computador.

Fonte: Cartilha de Segurança para Internet

Que informações um keylogger pode
obter se for instalado em um
computador?

Dentre as informações capturadas podem estar o

texto de um e-mail, dados digitados na declaração
de Imposto de Renda e outras informações
sensíveis, como senhas bancárias e números de
cartões de crédito.

Fonte: Cartilha de Segurança para Internet

Que informações um keylogger pode
obter se for instalado em um
computador?
Mas não só para capturar senhas e
informações sigilosas que essa ferramenta
serve, ele pode ser usado também para
saber o que as pessoas estão digitando no
computador, como por exemplo, empresas
que acham que seus funcionários estão
desperdiçando tempo em navegações
pessoais.
Fonte: Cartilha de Segurança para Internet
Diversos sites de instituições financeiras
utilizam teclados virtuais. Neste caso eu
estou protegido dos keyloggers?
Depende.

 Existem ferramentas tradicionais que capturam as informações

digitadas e envia essas informações por e-mail.

 Screenloggers, conseguem "filmar" o mouse ao colocar uma

senha em teclados virtuais.

 Existem também keyloggers específicos para determinadas tarefas,

como por exemplo, capturar senhas de mensageiros
instantâneos.

Fonte: Cartilha de Segurança para Internet

 Alguns exemplos de Keyloggers:

• Ardamax Keylogger 3.0

• Actual Keylogger
• Powered Keylogger 2.2
• MSN Messenger Keylogger 2.7
• Advanced Keylogger 2.0

Fonte: Cartilha de Segurança para Internet

 Como é feita a inclusão de um
keylogger em um computador?

 através de links e e-mails falsos.

 Nem sempre é imediata a identificação de um

keylogger na sua máquina, principalmente porque
umas das principais características do keylogger é
trabalhar de maneira invisível, o que torna sua
identificação ainda mais difícil.

Fonte: Cartilha de Segurança para Internet

Como é feita a inclusão de um keylogger
em um computador?
Normalmente vem como parte de um programa spyware
(software de monitoramento de atividades de um sistema que
envia as informações coletadas para terceiros) ou cavalo de tróia
(programa normalmente recebido como um "presente" (cartão
virtual, álbum de fotos, etc), que tem por objetivo executar
funções para as quais foi aparentemente projetado, bem como
outras funções normalmente maliciosas e sem o conhecimento
do usuário. Desta forma, é necessário que este programa seja
executado para que o keylogger se instale em um computador.

Fonte: Cartilha de Segurança para Internet

 Como posso proteger um computador
dos keyloggers?
 SpySweeper, SpyBot e Anti-Spy conseguem muitas vezes
capturar esse tipo de programa;

 Programas anti-vírus;

 Atenção para processos que consomem muita memória e que

geralmente tem nomes “estranhos”;

 Se você usa Linux, basta usar comandos como # ps aux ou o

comando # top e analisar como os processos estão se
comportando. Se algum processo "suspeito" aparecer, você pode
pegar o ID desse processo e encerrar ele com o comando # kill-
9PID.
Fonte: Cartilha de Segurança para Internet
 Worm
 Programa capaz de se propagar automaticamente através de
redes, enviando cópias de si mesmo de computador para
computador;

 Os vírus de worms são programas que se reproduzem de um

sistema para outro sem usar um arquivo hospedeiro. Em
comparação aos vírus, que exigem um arquivo hospedeiro para
infectarem e se espalharem a partir dele;

 Sua propagação se dá através da exploração de vulnerabilidades

existentes ou falhas na configuração de softwares instalados em
computadores.

Fonte: Cartilha de Segurança para Internet

 Como um worm pode afetar um
computador?
 Não tem como conseqüência os mesmos danos gerados por um vírus;

 Worms são notadamente responsáveis por consumir muitos recursos;

 Degradam sensivelmente o desempenho de redes e podem lotar o

disco rígido de computadores;

 Geram grandes transtornos para aqueles que estão recebendo tais

cópias.

Fonte: Cartilha de Segurança para Internet

Como posso saber se meu computador
está sendo utilizado para propagar um
worm?
 Os worms realizam uma série de atividades,
incluindo sua propagação, sem que o usuário tenha
conhecimento;

 Alguns programas antivírus permitem detectar a

presença de worms e até mesmo evitar que eles se
propaguem. Porém, isto nem sempre é possível.

Fonte: Cartilha de Segurança para Internet

Como posso proteger um computador
de worms?
 Antivírus;
 É importante que o sistema operacional e os softwares
instalados em seu computador não possuam
vulnerabilidades;
 Normalmente um worm procura explorar alguma
vulnerabilidade disponível em um computador, para
que possa se propagar;
 As medidas preventivas mais importantes são aquelas
que procuram evitar a existência de vulnerabilidades.
 firewall pessoal

Fonte: Cartilha de Segurança para Internet

 Bots e Botnets
De modo similar ao worm, o bot é
um programa capaz de se
propagar automaticamente,
explorando vulnerabilidades
existentes ou falhas na
configuração de softwares
instalados em um computador.
Adicionalmente ao worm, dispõe
de mecanismos de comunicação
com o invasor, permitindo que o
bot seja controlado remotamente.

Fonte: Cartilha de Segurança para Internet

Bots são softwares maliciosos que se espalham de
maneira autônoma (tal como um worm),
aproveitando vulnerabilidades que podem ser
exploradas remotamente, senhas fáceis de
adivinhar, ou mesmo usuários mal informados que
executam inadvertidamente arquivos recebidos
pela Internet.

Fonte: Cartilha de Segurança para Internet

 Como o invasor se comunica com o
bot?
Os bots se conectam por meio de um componente IRC
(Internet Relay Chat, uma rede para comunicação
online) a um determinado canal de um ou mais
servidores IRC. Normalmente, o software usado para
gerenciamento destes canais é modificado de forma
que sirvam a mais bots e que não revelem a
quantidade de bots associados. Assim está formada
uma botnet, que o atacante controla por meio de
comandos no canal IRC.

Fonte: Cartilha de Segurança para Internet

 Que riscos as botnets representam
para o usuário doméstico? E para as
corporações?
 Bots se propagam explorando remotamente vulnerabilidades
nos sistemas;
 Usos mais comuns:
-ataques de negação de serviço distribuído (DDoS);
-envio de Spam por meio de um componente do bot;
-captura de tráfego de rede no segmento
comprometido com o bot;
-captura do que é digitado no teclado do computador
comprometido;
-propagação de novos softwares maliciosos;
-instalação de adware (software para exibição de publicidade).
Fonte: Cartilha de Segurança para Internet
 Como posso proteger um computador
dos bots?

 Antivírus;
 Firewall pessoal;
 Manter o sistema operacional e os softwares instalados
em seu computador sempre atualizados e com todas as
correções de segurança (patches) disponíveis e
aplicados, para evitar que possuam vulnerabilidades.

Fonte: Cartilha de Segurança para Internet

 Como um usuário comum pode se
defender contra bots e botnets?
 Há bots para Linux;
 Há bots para Windows;
 Os softwares antivírus também podem oferecer uma
barreira à instalação de bots, mas eles só são eficazes
contra arquivos recebidos pelos usuários, caso consigam
identificá-los como bots;
 Já os bots com capacidade de se instalar explorando
uma vulnerabilidade remota, conseguem muitas vezes
burlar e até desligar os antivírus.

Fonte: Cartilha de Segurança para Internet

 Rootkits
 Conjunto de programas que fornece mecanismos para
esconder sua presença, conhecido como rootkit;

 Os rootkits possuem como objetivo principal, passar

completamente despercebido pelo usuário;

 A principal intenção dele é se camuflar, impedindo que

antivírus comuns não o encontre. Isto é possível pois estas
aplicações têm a capacidade de interceptar as solicitações
feitas ao sistema operacional, podendo alterar o seu
resultado.

Fonte: Cartilha de Segurança para Internet

 Que funcionalidades um rootkit pode
conter?
 Programas para esconder atividades e informações
deixadas pelo invasor (normalmente presentes em
todos os rootkits), tais como arquivos, diretórios,
processos, conexões de rede, etc;
 Backdoors para assegurar o acesso futuro do invasor
ao computador comprometido (presentes na maioria
dos rootkits);
 Programas para remoção de evidências em arquivos
de logs;

Fonte: Cartilha de Segurança para Internet

 Sniffers, para capturar informações na rede onde o
computador está localizado, como por exemplo
senhas que estejam trafegando em claro, ou seja, sem
qualquer método de criptografia;

 Scanners, para mapear potenciais vulnerabilidades em

outros computadores;

 outros tipos de malware, como cavalos de tróia,

keyloggers, ferramentas de ataque de negação de
serviço, etc.

Fonte: Cartilha de Segurança para Internet

Como posso saber se um rootkit foi
instalado em um computador e como
protegê-lo?
 A melhor solução mesmo é a prevenção.

 Adquirir um software de detecção, existem regras

para evitar a infecção por rootkit que, geralmente,
são as mesmas usadas para evitar a infecção de
programas maliciosos em geral, são elas:

Fonte: Cartilha de Segurança para Internet

• Ter instalado na máquina softwares de segurança
(antivírus, anti-spyware, anti-rootkit,...);
• Manter os softwares aplicativos, utilitários e o
sistema operacional atualizados;
• Ter maior cuidado ao baixar arquivos de redes P2P, é
recomendável que baixe arquivos somente de sites
confiáveis;
• Evitar o download de cracks;
• Ter instalado um firewall pessoal;
• Se possível executar o sistema com privilégios
limitados;

Fonte: Cartilha de Segurança para Internet

 Ferramentas de detecção específicas

• RootkitRevealer
• F-Secure Blacklight
• UnHackMe
• Rootkit Hook Analyser
• AVG Anti-Rootkit
• Sophos-Rootkit

Fonte: Cartilha de Segurança para Internet

 Refêrencias
CARTILHA DE SEGURANÇA PARA INTERNET 3.1, Disponível
em: http://cartilha.cert.br/, Acesso em: 20 out. 2008.
SYMANTE CORPORATION, Disponível em:
<http://www.symantec.com/region/br/avcenter/education
/index.html#1>, Acesso em: 20 out. 2008.
LINHA DEFENSIVA, Disponível em:
http://www.linhadefensiva.org/2006/02/botnets-redes-zumbi
, Acesso em: 20 out. 2008.
UNDER-LINUX.ORG, Disponível em:
http://under-linux.org/forums/seguranca/110653-o-que-e-um-rootkit-e-como
, Acesso em: 20 out. 2008.

Fonte: Cartilha de Segurança para Internet