1
Pragas de computador:
verdades, mitos e mentiras
Prof. Dr. Adriano Mauro Cansian
2
Motivação
• Pragas de computador são um problema já bem conhecido, porém cada vez mais atuantes e sofisticados.
• É estimado que os vírus de computador causaram danos de US$ 55 bilhões em 2003. Em 2002 os danos foram entre US$ 20 e 30 bilhões e em 2001, US$ 13 bilhões.(*)
• No pico da infecção, o vírus MyDoom estava em cerca de 1 a cada 12 e-mails na Internet .(**)
(*) Fonte: Trend Micro, 16 de janeiro de 2004 (Computer World Article at http://www.computerworld.com)
(**) Fonte: Message Lab s, 17 de janeiro de 2004 (http://www.m essagelab s.com)
3
Introdução
• Os vírus e worms de computador estão em constante disseminação, e tentam ludibriar o usuário a instalá-los de diversas formas:
– ofertas de dinheiro fácil; – fotos de celebridades nuas;
– Falsos avisos do administrador do sistema, entre outros.
• É indispensável que o usuário se conscientize e proteja seu computador para evitar roubo de documentos confidenciais, senhas, ou que ataques sejam lançados a partir de seu PC.
4
Casos Famosos
• Alguns casos famosos incluem o do primeiro worm, o Morris, que será abordado adiante.
• Como exemplo recente, temos o worm Blaster, que infectou rapidamente milhões de computadores no ano de 2003, tirando muitos serviços do ar.
• No fim de 2003 e início de 2004, houve o problema com o MyDoom, que processava em torno de 50 a 60 mil mensagens por hora.
5
Risco atual (março/abril de 2004)
• A atual ameaça (2004) é o worm W32/NetSky.P-mm.
• Vasculha endereços de e-mail em máquinas infectadas para espalhar-se mais rápido.
• Tenta deletar entradas no registro feitas por outros worms.
• Taxa de infecção em 24 de março de 2004: 1 em 33 e- mails. Mensagens reais contendo este worm serão mostradas mais adiante.
Fonte:
http://www.messagelab s.com/viruseye/info/netskyp.asp 6
O que é um VÍRUS?
• Um vírus de computador é um programinha com uma série de instruções “maldosas” para o seu computador executar.
• Desenvolvido para se associar a um programa comum e, no momento que este é executado, o “programa vírus” também é executado, replicando-se e ligando-se a outros programas.
• Uma vez executado, pode, tenta ou infecta outros programas ou documentos existentes no computador.
7
Como surgiram os Vírus
• Fred B. Cohen, em 1983, escreveu o primeiro vírus de computador.
• Na Universidade do sul da Califórnia, durante uma apresentação em um seminário de segurança, pelo então estudante do curso de doutorado em engenharia.
8
O que é um WORM?
• Worm é um programa que tem a habilidade de se copiar de máquina para máquina com a ajuda de programas de e-mails ou de bate-papo (Chat ou IRC).
• O programa é capaz de se espalhar sem a intervenção humana.
• Usando uma rede, um worm pode se expandir inacreditavelmente depressa a partir de uma única cópia.
9
Como surgiram os Worms
• Robert Morris: em 1988, escreveu um pequeno programa, denominado então, worm.
• O próprio worm continha um bug -> travou 10% dos computadores da Internet da época.
Robert Tappan Morris Jr. Rebeldia ou acidente???
http://www.ee.ryerson.ca:8080/~elf/hack/iworm.html
http://kt-www.cs.titech.ac.jp/~natori/…/wormtour.html
10
Diferenças: Vírus X Worms
• Pelo fato de um worm poder ser considerado um tipo especial de vírus, ambos
possuem características em comum, mas, apesar disso são diferentes!
Diferenças: Vírus X Worms
• Um worm se propaga usando seu próprio “poder”: fazendo cópias de si mesmo através de um rede e executando-se em outros computadores ou através de mass-mailing (enviando-se para vários destinatários de correio eletrônico).
• Um vírus se propaga contaminando outro arquivo ou outro código executável (como o setor de boot) do computador. O único modo de um vírus se espalhar de sistema para sistema é através do compartilhamento de arquivos contaminados (através de disquetes, por exemplo).
• Resumindo, vírus infectam arquivos e worms sistemas.
Histórico sobre vírus (1/2)
• Os tipos de vírus serão explicados mais adiante
• 1981 – O primeiro vírus na rede – Apple virus
• 1983 – O primeiro vírus experimental documentado – Artigo de Fred Cohen, definindo um vírus e descrevendo os
experimentos feitos como prova de conceito (um vírus é viável)
• 1984 – É criado o Brain: primeiro vírus de boot - Primeiro trojan, distribuido como o shareware do
programa PC-Write
• 1987 – Surgem os primeiros vírus de arquivos – Infectavam principalmente arquivos COM (COMMAND.COM
principalmente
– Alguns já conseguiam alterar executáveis
• 1991 – Primeiro vírus polimórfico ou mutante – Possui capacidade de auto-alteração para evitar detecção
13
Histórico sobre vírus (2/2)
• 1995 – Primeiro vírus de macro – Atacava o Word
• 1996 – Boza - Primeiro vírus para arquivos Windows 95 – Primeiro vírus de macro para Excel
– Staog – Primeiro vírus para Linux (dos criadores do Boza)
• 1998 – Surge o primeiro vírus para Java
– Back Orifice – Primeiro trojan para administração remota
• 1999 – Melissa – A primeira combinação de vírus de macro e worm.
– Utilizava o livro de endereços do Outlook para propagação
• 2000 ~ 2004 – As características dos vírus começam a se misturar, e tornam-se cada vez mais poderosos.
– Ao falar sobre worms, isso ficará mais evidente.
14
Histórico sobre Worms (1/2)
• 1980 – Primeiros testes com worms
– Intenções benignas: realizar tarefas administrativas na rede – Se mal usado, poderia trazer consequências ruins
• 1988 – O chamado Internet Worm causa a primeira crise na Internet – Causou negativa de serviço em vários computadores
– Nasce o CERT (Computer Emergency Response Team), com a função de forncer respostas a estes tipos de incidentes
• 1999 – worm Melissa – Vírus de macro do Word
– Se propagava por listas de endereços do Microsoft Outlook – Deletava arquivos de inicialização do sistema infectado – Causou grande aumento de tráfego na internet
• 2000 – worm I Love You
– Se propagava de maneira semelhante ao Melissa – Técnicas de engenharia social são utilizadas
15
Histórico sobre Worms (2/2)
• 2001 – Code Red worm – Explorava vulnerabilidade do IIS – Ativo por default no Windows 2000/NT – Tinha como alvo o site da Casa Branca
• 2003 – Sobig Worm
• Trojan Horse que se propaga por e-mail
• Afetou, e ainda afeta, milhares de máquinas na internet – Blaster Worm
Ataca uma vulnerabilidade do sistema de RPC do Windows Reinicia o computador após alguns segundos
• 2004 – MyDoom
– Worm de maior capacidade de replicação já conhecido – Habilita controle remoto do computador afetado – Programado para gerar DDOS aos sites das SCO e Microsoft
16
Evolução dos vírus e worms
• No início, apenas existiam os vírus
• Alguns anos mais tarde, surge a técnica para a criação de worms
• Atualmente, o vírus não se enquadra em apenas uma das categorias de vírus a serem mostradas
• Quanto maior o número de características (trojan, vírus de arquivo, vírus mutante) mais poderoso é o vírus.
• Quando, além de tudo isso, é também um worm, seu poder de propagação e destruição torna-se gigantesco
• A eficácia destes malwares aumentam a cada dia, com a utilização, além de tudo o que foi dito, de técnicas de engenharia social (inicia-se com o vírus I Love You)
• Este cenário assombroso nada mais é que a Internet atual, com um grande representante, que é o MyDoom
17
Tipos de Vírus
O que eles infectam?
• Vírus de Arquivos
– Ação direta: contaminam arquivos executáveis. – Residentes: ficam armazenados na memória RAM . – Vírus de Macro: infectam arquivos do Microsoft Word.
• Vírus de Boot ou de Sistema
• Algumas empresas especializadas classificam os vírus em mais duas categorias: vírus de sistema de arquivo e vírus de kernel (núcleo do sistema).
– São menos comuns.
18
Vírus de Arquivo
• Infectam arquivos executáveis e bibliotecas de executáveis.
• Riscos envolvidos: podem executar qualquer tipo de ação maliciosa:
– apagar arquivos, – roubar informações,
– alterar o funcionamento normal da máquina, etc.
• Infecção:
– Ação direta: cada vez que um programa infectado é executado outros programas são contaminados. – Residentes: infectam porções da memória RAM e
posteriormente programas executados na máquina – são a maioria dos vírus existentes.
19
Vírus de Macro
• Arquivos do Microsoft Word ou Excel podem executar códigos arbitrários, ou seja, também podem executar ações maliciosas.
• Riscos: comprometimento das informações armazenadas no computador.
• A infecção ocorre através de arquivos infectados que contaminam principalemente os templates e outros arquivos do Word ou Excel.
20
Vírus de Boot
• Infectam a MBR (Master Boot Record) dos discos rígidos ou o setor de boot dos sistemas de arquivos,
principalmente o sistema FAT.
• Riscos:
– Comprometem o funcionamento normal do computador, podendo inutilizá-lo temporariamente.
– Podem apagar todas as informações existentes na máquina.
• Infecção: através de disquetes infectados ou dispositivos de disco infectados.
21
Ambiente de Propagação
• A propagação é maior em sistemas Microsoft Windows devido, principalmente, a dois fatores:
– Popularidade do sistema.
– Grande número de vulnerabilidades nestes sistemas.
• Existem também vírus para todas as outras plataformas (Linux, UNIX, MacOS X, etc), inclusive existem vírus para PDA's.
22
Vírus em e-mails
• E-mail é simplesmente um “meio de propagação” para os vários vírus existentes.
• Podem transportar todos os tipos de vírus, ou seja, os riscos estão relacionados ao tipo de vírus que o e-mail transporta.
• Atualmente criminosos utilizam e-mails para distribuir um tipo especial de software malicioso: os Keyloggers.
• Infecção: Exploram vulnerabilidades dos softwares de e- mails ou a curiosidade usuário.
Tipos Avançados de Vírus
• Aplicações Web
– Scripts maliciosos presentes em páginas web. – Utilizam as linguagens: PHP, Javascript, ASP, etc
– São menos destrutivos pois não possuem acesso ao sistema de arquivos.
• Mobile Coding (Java e Virtual Machines): são vírus que podem ser executados em várias plataformas diferentes através das máquinas virtuais.
• Vírus Mutantes ou polimórficos: produzem automaticamente variantes funcionais de seu próprio código para enganar os softwares anti-vírus.
Métodos de proteção contra vírus
• Sistemas anti-vírus
– São programas capazes de detectar e remover vírus
– Impedem os vírus de contaminar o sitema – Restauram sistemas contaminados – Verificam se o e-mail está seguro
– Estão presentes em grande parte dos servidores da internet e dos computadores pessoais
– Necessitam de atualização para manterem-se efecientes
• FireWalls
– São programas que protegem seu sistema de ameaças vindas da rede e da internet
– Dificultam a ação de vírus que exploram vulnerabilidades da
25
Métodos de proteção contra vírus
• Proteção em camadas
– Antivírus é executado em vários computadores controlando o fluxo de e-mail e arquivos em geral
– A chance de detecção do vírus é aumentada Servidor
de Internet Proxy da rede
Estação de Trabalho
26
Métodos de limpeza
• Alternativas para efetuar a limpeza em um sistema infectado
– Atualize seu anti-vírus e execute uma varredura completa em seu sistema
– Verifique a existencia “vacinas” disponíveis nos sites especializados. Uma Vacina é um programa pequeno utilizado para detectar e remover apenas alguns vírus,
worms e/ou trojans depois que estes já se instalaram no sistema – Procure informação nos distribuidores de anti-vírus sobre a
remoção manual do vírus
27
• Procedimentos de Limpeza
– Desconecte fisicamente os computadores infectados da rede sua para evitar que a infecção se espalhe
– Remova o vírus, worm ou trojan
– Refaça uma verificação completa em seu sistema para asseguar que a remoção foi efetivada com sucesso
– Restaure dados do seu backup caso necessário
– Documente o processo de remoção. Você terá uma referência para consultas futuras e desinfecção de outros computadores
Métodos de limpeza
28
• Anti-vírus de uso gratuito – AVG Anti-vírus Free Edition
http://www.avgbrasil.com.br, atualizações em: http://www.grisoft.com/
– Freeware avast! 4 Home Edition http://www.avast.com/ – AntiVir Personal Edition
http://www.free-av.com/
• Anti-vírus onlines
– Panda ActiveScan (detecção e remoção)
http://www.pandasoftware.com/activescan/pt/activescan_principal.htm – Norton Antivírus online (detecção apenas)
http://security.symantec.com/sscv6/ – Trend Micro HouseCall
http://housecall.antivirus.com/housecall/start_corp.asp
Obs.: nos links iexistem opções de download para versões pagas e gratuitas dos anti-vírus indicados
Alternativas de uso gratuito
29
Alternativas de uso gratuito
• Firewalls – ZoneAlarm Free
http://www.zonelabs.com – Outpost Firewall FREE
http://www.agnitum.com/ – Sygate Personal Firewall http://www.sygate.com/
• Ferramentas contra Spyware – Spybot Search and Destroy
http://www.safer-networking.org/ – AD-aware 6.0
http://www.lavasoftusa.com/
Dica: você pode encontrar links para estes e outros softwares relacionados a proteção contra vírus em www.superdownloads.com.br
30
Prevenção: por que prevenir?
• Uma vez que a remoção de um vírus é bastante trabalhosa e, em alguns casos é recomendada até a formatação do computador, a prevenção é extremamente necessária. E menos trabalhosa...
• Ao evitar a contaminação do seu computador você também interrompe a propagação do vírus através da Internet, fazendo bem também para outros usuários.
• Ou seja, nesse caso, prevenir é realmente melhor do que remediar!
31
Prevenção: como prevenir
• Utilize sempre um antivírus e um firewall e mantenha-os sempre atualizados.
• Não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, mas caso seja inevitável, certifique-se que o arquivo foi verificado pelo programa antivírus.
• Não configure seu programa de e-mail para executar automaticamente os anexos.
• Não deixe discos nos drives ao desligar ou reiniciar seu computador.
32
Prevenção: como prevenir
• Ao terminar de utilizar um disquete, proteja-o contra gravação.
• Desativar as macros do Word.
• Não execute arquivos de fontes suspeitas (sites da Internet, IRC, etc...) ou, pelo menos, certifique-se de que não estão infectados antes.
• Faça sempre as atualizações do seu sistema operacional, principalmente se ele for o Windows. Atualize também os seus programas.
33
Epílogo (
Epílogo (worm W32/NetSky.P-mm))
Agora, alguns exemplos de e-mail contendo código malicioso anexado: Subject
suspeito
Anexos com extensões SRC, EXE, ZIP ou PIF
Mensagem e descrição do anexo tentando enganar o
usuário e/ou referenciando vendedores de anti-vírus.
