Códigos Maliciosos.arquivologia

Códigos Maliciosos (Malware) Disciplina: Redes de Compartilhamento de Internet. Ministrada por: Prof. Ricardo Santana

Apresentação: Danilo André Bueno

 Noemi Andreza da Penha

Vírus 

Um vírus de computador é um programa pequeno desenvolvido para prejudicar um sistema informático, sem a permissão ou o conhecimento conhecimen to do seu usuário;

Fonte: Cartilha de Segurança para Internet

Como um vírus pode afetar um computador? Alguns exemplos:  através de e-mails, programas-piratas, sites de origem duvidosa;  ter alguma mídia removível (infectada) conectada ou inserida no computador, quando ele é ligado;  abrir arquivos do Word, Excel, etc.

Fonte: Cartilha de Segurança para Internet

O que é um vírus de macro? 

Infectam através da execução dos aplicativos do Microsoft Office: Word, Excel, PowerPoint e Access.



Usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. Fonte: Cartilha de Segurança para Internet

Maneiras de proteger um computador de vírus 

  

instalação de programa de Antivírus e devem sempre serem atualizados, caso contrário não detecta os vírus recentes ; cautela na abertura de e-mail; arquivos enviados por destinatário desconhecido; desabilitar no seu programa leitor de e-mails a autoexecução de arquivos anexados às mensagens. Fonte: Cartilha de Segurança para Internet

Vírus de telefone celular Diferem-se dos vírus tradicionais, pois normalmente não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser  especificamente projetados para sobrescrever  arquivos de aplicativos ou do sistema operacional instalado no aparelho. Ocorre a contaminação através das tecnologias de:  Bluetooth;  MMS; 

Fonte: Cartilha de Segurança para Internet

Como posso proteger um telefone celular de vírus?    

mantenha o bluetooth desabilitado e somente habilite-o quando for necessário; não aceite arquivos enviados por terceiros; fique atento às notícias veiculadas no site do fabricante do seu aparelho, principalmente àquelas sobre segurança; caso você tenha comprado uma aparelho usado, restaure as opções de fábrica.

Fonte: Cartilha de Segurança para Internet

Cavalos de Tróia (Trojan Horse) Conta a mitologia grega que o "Cavalo de Tróia" foi uma grande estátua, utilizada como instrumento de guerra pelos gregos para obter  acesso a cidade de Tróia. Um cavalo de madeira   preenchida com soldados que, durante à noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Tróia. Daí surgiram os termos "Presente de Grego" e "Cavalo de Tróia" Fonte: Cartilha de Segurança para Internet

Cavalos de Tróia (Trojan Horse) 



são impostores - arquivos que afirmam ser desejáveis mas, na verdade, são malintencionados; tem o objetivo de roubar certos dados e enviar para seu criador;



cartão virtual, álbum de fotos, protetor de tela, jogo, etc;



consiste em um único arquivo que necessita ser  executado. Fonte: Cartilha de Segurança para Internet

Danos causados pelo Cavalo de Tróia



instalação de keyloggers ou screenloggers ;  furto de senhas e outras informações sensíveis;  inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador;  alteração ou destruição de arquivos.

Fonte: Cartilha de Segurança para Internet

Como um cavalo de tróia se instala em um computador Sendo necessário que seja executado para que ele se instale em um computador;  Geralmente um cavalo de tróia vem anexado a um e-mail ou está disponível em algum site na Internet;  o antivírus será capaz de detectar ou remover os   programas deixados por um cavalo de tróia,   principalmente se estes programas forem mais recentes que as assinaturas do seu antivírus. 

Fonte: Cartilha de Segurança para Internet

Maneiras de proteger um computador dos cavalos de tróia  Ações

preventivas contra a instalação de cavalos de tróia são semelhantes às medidas contra a infecção por vírus;

 Uma

outra medida preventiva é utilizar um firewall pessoal. Alguns firewalls podem bloquear  o recebimento de cavalos de tróia Fonte: Cartilha de Segurança para Internet

Adware e Spyware Adware (  Advertising software)

é um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, ou através de algum outro  programa instalado em um computador. Spyware é o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar  atividades de um sistema e enviar as informações coletadas para terceiros.

Fonte: Cartilha de Segurança para Internet

Adware e Spyware



São programas instalados em computadores, sem sua permissão;



Tem o intuito de roubar informações

Fonte: Cartilha de Segurança para Internet

seus

Como proteger um computador de programas spyware e adware o uso de "anti-spyware”;  outra medida preventiva é utilizar um firewall  pessoal;  Além disso, se bem configurado, o firewall pode  bloquear o envio de informações coletadas por estes  programas para terceiros. 

Fonte: Cartilha de Segurança para Internet

Backdoors ( Porta dos Fundos) 

São programas se instalam em ambiente de serviço de um computador, tornando-se acessível a distância, permitindo o controle da máquina sem que o usuário saiba.



Possibilitando ao invasor qualquer ação, como: ler seus e-mails, ver seus arquivos, copiar sua senhas, conectar via rede com outros computadores e etc. Fonte: Cartilha de Segurança para Internet

A inclusão de um backdoor em um computador  Pode

ser incluído por um invasor ou através de um cavalo de tróia;  Podem ser executados por diversos sistemas operacionais,  por exemplo: Windows, GNU/Linux entre outros;  E a instalação de pacotes de software, tais como o BackOrifice e NetBus, da plataforma Windows, Se mal configurados ou utilizados sem o consentimento do usuário,  podem ser classificados como backdoors.

Fonte: Cartilha de Segurança para Internet

Maneira de proteger um computador de backdoors 

não abrir e-mail de destinatários desconhecido;  utilização de um firewall pessoal. Apesar de não eliminarem os backdoors, se bem configurados,  podem ser úteis para amenizar o problema;  jamais executar programas que não tenham sido obtidos de fontes confiáveis

Fonte: Cartilha de Segurança para Internet

Keylogger Definição: 

histórico de teclas usadas;



teclas que você geralmente usa para definir a sua senha;



Keylogger é um programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Fonte: Cartilha de Segurança para Internet

Que informações um keylogger pode obter se for instalado em um computador? Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito.

Fonte: Cartilha de Segurança para Internet

Que informações um keylogger pode obter se for instalado em um computador?

Mas não só para capturar senhas e informações sigilosas que essa ferramenta serve, ele pode ser usado também para saber o que as pessoas estão digitando no computador, como por exemplo, empresas que acham que seus funcionários estão desperdiçando tempo em navegações  pessoais. Fonte: Cartilha de Segurança para Internet

Diversos sites de instituições financeiras utilizam teclados virtuais. Neste caso eu estou protegido dos keyloggers? Depende. 

Existem ferramentas tradicionais que capturam as informações digitadas e envia essas informações por e-mail.



Screenloggers, conseguem "filmar" o mouse ao colocar uma senha em teclados virtuais.



Existem também keyloggers específicos para determinadas tarefas, como por exemplo, capturar senhas de mensageiros instantâneos.

Fonte: Cartilha de Segurança para Internet

Alguns exemplos de Keyloggers: • • • • •

Ardamax Keylogger 3.0 Actual Keylogger  Powered Keylogger 2.2 MSN Messenger Keylogger 2.7 Advanced Keylogger 2.0

Fonte: Cartilha de Segurança para Internet

Como é feita a inclusão de um keylogger em um computador?  através  

de links e e-mails falsos.

Nem sempre é imediata a identificação de um keylogger na sua máquina, principalmente porque umas das principais características do keylogger é trabalhar de maneira invisível, o que torna sua identificação ainda mais difícil. Fonte: Cartilha de Segurança para Internet

Como é feita a inclusão de um keylogger em um computador?   Normalmente vem como parte de um programa spyware (software de monitoramento de atividades de um sistema que envia as informações coletadas para terceiros) ou cavalo de tróia (programa normalmente recebido como um "presente" (cartão virtual, álbum de fotos, etc), que tem por objetivo executar  funções para as quais foi aparentemente projetado, bem como outras funções normalmente maliciosas e sem o conhecimento do usuário. Desta forma, é necessário necessário que este programa seja seja executado para que o keylogger  se instale em um computador.

Fonte: Cartilha de Segurança para Internet

Como posso proteger um computador dos keyloggers? 

SpySweeper, SpyBot e Anti-Spy conseguem muitas vezes capturar esse tipo de programa;



Programas anti-vírus;



Atenção para processos que consomem muita memória e que geralmente tem nomes “estranhos”;



Se você usa Linux, basta usar comandos como # ps aux ou o comando # top e analisar como os processos estão se comportando. Se algum processo "suspeito" aparecer, você pode  pegar o ID desse processo e encerrar ele com o comando # kill9PID. Fonte: Cartilha de Segurança para Internet

Worm 

Programa capaz de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador;



Os vírus de worms são programas que se reproduzem de um sistema para outro sem usar um arquivo hospedeiro. Em comparação aos vírus, que exigem um arquivo hospedeiro para infectarem e se espalharem a partir dele;



Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de  softwares instalados em computadores. Fonte: Cartilha de Segurança para Internet

Como um worm pode afetar um computador?   Não

tem como conseqüência os mesmos danos gerados por um vírus;



Worms são notadamente responsáveis por consumir muitos recursos;



Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores;



Geram grandes transtornos para aqueles que estão recebendo tais cópias.

Fonte: Cartilha de Segurança para Internet

Como posso saber se meu computador está sendo utilizado para propagar um worm?  Os worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento;  Alguns

programas antivírus permitem detectar a  presença de worms e até mesmo evitar que eles se  propaguem. Porém, isto nem sempre é possível.

Fonte: Cartilha de Segurança para Internet

Como posso proteger um computador de worms?

 Antivírus; É

importante que o sistema operacional e os softwares instalados em seu computador não possuam vulnerabilidades;   Normalmente um worm procura explorar alguma vulnerabilidade disponível em um computador, para que possa se propagar;  As medidas preventivas mais importantes são aquelas que procuram evitar a existência de vulnerabilidades.  firewall pessoal

Fonte: Cartilha de Segurança para Internet

Bots e Botnets De modo similar ao worm, o bot é um programa capaz de se   propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o  bot seja controlado remotamente.

Fonte: Cartilha de Segurança para Internet

Bots são softwares maliciosos que se espalham de maneira autônoma (tal como um worm), aproveitando vulnerabilidades que podem ser  exploradas remotamente, senhas fáceis de adivinhar, ou mesmo usuários mal informados que executam inadvertidamente arquivos recebidos  pela Internet.

Fonte: Cartilha de Segurança para Internet

Como o invasor se comunica com o bot? Os bots se conectam por meio de um componente IRC (Internet Relay Chat, uma rede para comunicação online) a um determinado canal de um ou mais servidores IRC. Normalmente, o software usado para gerenciamento destes canais é modificado de forma que sirvam a mais bots e que não revelem a quantidade de bots associados. Assim está formada uma botnet, que o atacante controla por meio de comandos no canal IRC. Fonte: Cartilha de Segurança para Internet

Que riscos as botnets representam para o usuário doméstico? E para as corporações? Bots se propagam explorando remotamente vulnerabilidades nos sistemas;  Usos mais comuns: -ataques de negação de serviço distribuído (DDoS); -envio de Spam por meio de um componente do bot; -captura de tráfego de rede no segmento comprometido com o bot; -captura do que é digitado no teclado do computador  comprometido; -propagação de novos softwares maliciosos; -instalação de adware (software para exibição de publicidade). 

Fonte: Cartilha de Segurança para Internet

Como posso proteger um computador dos bots?  Antivírus;  Firewall pessoal;  Manter

o sistema operacional e os softwares instalados em seu computador sempre atualizados e com todas as correções de segurança (patches) disponíveis e aplicados, para evitar que possuam vulnerabilidades.

Fonte: Cartilha de Segurança para Internet

Como um usuário comum pode se defender contra bots e botnets?  Há

bots para Linux;  Há bots para Windows;  Os softwares antivírus também podem oferecer uma   barreira à instalação de bots, mas eles só são eficazes contra arquivos recebidos pelos usuários, caso consigam identificá-los como bots;  Já os bots com capacidade de se instalar explorando uma vulnerabilidade remota, conseguem muitas vezes  burlar e até desligar os antivírus. Fonte: Cartilha de Segurança para Internet

Rootkits  Conjunto

de programas que fornece mecanismos para esconder sua presença, conhecido como rootkit;

 Os

rootkits possuem como objetivo principal, passar  completamente despercebido pelo usuário;

A

principal intenção dele é se camuflar, impedindo que antivírus comuns não o encontre. Isto é possível pois estas aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu resultado. Fonte: Cartilha de Segurança para Internet

Que funcionalidades um rootkit pode conter?  Programas

para esconder atividades e informações deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios,  processos, conexões de rede, etc;  Backdoors para assegurar o acesso futuro do invasor  ao computador comprometido (presentes na maioria dos rootkits);  Programas para remoção de evidências em arquivos de logs;

Fonte: Cartilha de Segurança para Internet

 Sniffers,

para capturar informações na rede onde o computador está localizado, como por exemplo senhas que estejam trafegando em claro, ou seja, sem qualquer método de criptografia;

 Scanners,

para mapear potenciais vulnerabilidades em outros computadores;

 outros

tipos de malware, como cavalos de tróia, keyloggers, ferramentas de ataque de negação de serviço, etc. Fonte: Cartilha de Segurança para Internet

Como posso saber se um rootkit foi instalado em um computador e como protegê-lo? A

melhor solução mesmo é a prevenção.

 Adquirir

um software de detecção, existem regras   para evitar a infecção por rootkit que, geralmente, são as mesmas usadas para evitar a infecção de  programas maliciosos em geral, são elas:

Fonte: Cartilha de Segurança para Internet

• Ter instalado na máquina softwares de segurança (antivírus, anti-spyware, anti-rootkit,...); • Manter os softwares aplicativos, utilitários e o sistema operacional atualizados; • Ter maior cuidado ao baixar arquivos de redes P2P, é recomendável que baixe arquivos somente de sites confiáveis; • Evitar o download de cracks; • Ter instalado um firewall pessoal; • Se possível executar o sistema com privilégios limitados; Fonte: Cartilha de Segurança para Internet

Ferramentas de detecção específicas • • • • • •

RootkitRevealer  F-Secure Blacklight UnHackMe Rootkit Hook Analyser  AVG Anti-Rootkit Sophos-Rootkit

Fonte: Cartilha de Segurança para Internet

Refêrencias CARTILHA DE SEGURANÇA PARA INTERNET 3.1, Disponível

em: http://cartilha.cert.br/ http://cartilha.cert.br/,, Acesso em: 20 out. 2008. Disponível em: , Acesso em: 20 out. 2008. Disponível em: LINHA DEFENSIVA, http://www.linhadefensiva.org/2006/02/botnets-redes-zumb , Acesso em: 20 out. 2008. SYMANTE

CORPORATION,

UNDER-LINUX.ORG,

Disponível em: http://under-linux.org/forums/seguranca/11065 http://under-linux.o rg/forums/seguranca/110653-o-que-e-um-rootkit-e-com 3-o-que-e-um-rootkit-e-com , Acesso em: 20 out. 2008. Fonte: Cartilha de Segurança para Internet