Códigos Maliciosos.arquivologia

(1)

Códigos Maliciosos (

Malware

)

Apresentação

: Danilo André Bueno

Disciplina:

Disciplina: Redes de Compartilhamento de Internet.Redes de Compartilhamento de Internet.

Ministrada por:

(2)

Vírus



 Um vírus de computador é um programaUm vírus de computador é um programa

pequeno desenvolvido para prejudicar um

sistema informático, sem a permissão ou o

conhecimen

(3)

Como um vírus pode afetar um

computador?

Alguns exemplos: Alguns exemplos:



 através de e-mails, programas-piratas, sites de origem duvidosa;através de e-mails, programas-piratas, sites de origem duvidosa;



 ter alguma mídia removível (infectada) conectada ou inserida noter alguma mídia removível (infectada) conectada ou inserida no

computador, quando ele é ligado; computador, quando ele é ligado;



(4)

O que é um vírus de macro?



 Infectam através da execução dosInfectam através da execução dos aplicativos do Microsoft Office: Word, aplicativos do Microsoft Office: Word, Excel, PowerPoint e Access.

Excel, PowerPoint e Access.



 Usam a linguagem de programaçãoUsam a linguagem de programação interna do programa, que foi criada para interna do programa, que foi criada para permitir que os usuários automatizem permitir que os usuários automatizem

(5)

Maneiras de proteger um computador

de vírus



 instalação de programa de Antivírus e deveminstalação de programa de Antivírus e devem

sempre serem atualizados, caso contrário não

detecta os vírus recentes ;



 cautela na abertura de e-mail;cautela na abertura de e-mail; 

 arquivos enviados por destinatário desconhecido;arquivos enviados por destinatário desconhecido; 

(6)

auto-Vírus de telefone celular

Vírus de telefone celular



 Diferem-se dos vírus tradicionais, pois normalmenteDiferem-se dos vírus tradicionais, pois normalmente

não inserem cópias de si mesmos em outros arquivos não inserem cópias de si mesmos em outros arquivos armazenados no telefone celular, mas podem ser armazenados no telefone celular, mas podem ser especificamente projetados para sobrescrever especificamente projetados para sobrescrever arquivos de aplicativos ou do sistema operacional arquivos de aplicativos ou do sistema operacional instalado no aparelho.

instalado no aparelho.

Ocorre a contaminação através das tecnologias de: Ocorre a contaminação através das tecnologias de:



(7)

Como posso proteger um telefone

celular de vírus?



 mantenha o bluetooth desabilitado e somente habilite-omantenha o bluetooth desabilitado e somente habilite-o

quando for necessário; quando for necessário;



 não aceite arquivos enviados por terceiros;não aceite arquivos enviados por terceiros;



 fique atento às notícias veiculadas no site do fabricante dofique atento às notícias veiculadas no site do fabricante do

seu aparelho, principalmente àquelas sobre segurança; seu aparelho, principalmente àquelas sobre segurança;



 caso você tenha comprado uma aparelho usado, restaure ascaso você tenha comprado uma aparelho usado, restaure as

opções de fábrica. opções de fábrica.

(8)

Cavalos de Tróia (Trojan Horse)

Conta a mitologia grega que o "Cavalo de Tróia"

foi uma grande estátua, utilizada como

instrumento de guerra pelos gregos para obter

acesso a cidade de Tróia. Um cavalo de madeira

preenchida com soldados que, durante à noite,

abriram os portões da cidade possibilitando a

entrada dos gregos e a dominação de Tróia. Daí

surgiram os termos "Presente de Grego" e "Cavalo

(9)

Cavalos de Tróia (Trojan Horse)



 são impostores - arquivos que afirmam sersão impostores - arquivos que afirmam ser desejáveis mas, na verdade, são desejáveis mas, na verdade, são mal-intencionados;

intencionados;



 tem o objetivo de roubar certos dados etem o objetivo de roubar certos dados e enviar para seu criador;

enviar para seu criador;



 cartão virtual, álbum de fotos, protetor de tela, jogo, etc;cartão virtual, álbum de fotos, protetor de tela, jogo, etc;



consiste em um único arquivo que necessita ser

executado.

(10)

Danos causados pelo Cavalo de Tróia



 instalação de keyloggers ou screenloggersinstalação de keyloggers ou screenloggers;;



 furto de senhas e furto de senhas e outras informações sensíveis;outras informações sensíveis; 

 inclusão de backdoors, para permitir que uminclusão de backdoors, para permitir que um

atacante tenha total controle sobre o

atacante tenha total controle sobre o computador;computador;



(11)

Como um cavalo de tróia se instala em

um computador



 Sendo necessário que seja executado para que ele seSendo necessário que seja executado para que ele se

instale em um

instale em um computador;computador;



 Geralmente um cavalo de tróia vem anexado a umGeralmente um cavalo de tróia vem anexado a um

e-mail ou está disponível em algum site na Internet;



 o antivírus será capaz de detectar ou remover oso antivírus será capaz de detectar ou remover os

programas deixados por um cavalo de tróia,

principalmente se estes programas forem mais

recentes que as assinaturas do seu

(12)

Maneiras de proteger um computador

dos cavalos de tróia



 Ações preventivas contra a instalação de cavalosAções preventivas contra a instalação de cavalos

de tróia são semelhantes às medidas contra a

infecção por vírus;



 Uma outra medida preventiva é utilizar umUma outra medida preventiva é utilizar um

firewall pessoal. Alguns firewalls podem bloquear

o recebimento de cavalos de tróia

(13)

Adware e Spyware

Adware

Adware (( Advertising software Advertising software) é um tipo de software) é um tipo de software

especificamente projetado para apresentar propagandas, especificamente projetado para apresentar propagandas, seja através de um browser, ou através de algum outro seja através de um browser, ou através de algum outro programa instalado em um computador.

programa instalado em um computador.

Spyware

Spyware é o termo utilizado para se referir a uma grandeé o termo utilizado para se referir a uma grande

categoria de software que tem o objetivo de monitorar categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações atividades de um sistema e enviar as informações coletadas para terceiros.

(14)

Adware

e Spyware



São

programas

instalados

em

seus

computadores, sem sua permissão;



(15)

Como proteger um computador de

programas spyware

e adware



 o uso de o uso de "anti-spyware”;"anti-spyware”;



 outra medida preventiva é utilizar um outra medida preventiva é utilizar um firewallfirewall

pessoal; pessoal;



 Além disso, se bem configurado, o firewall podeAlém disso, se bem configurado, o firewall pode

bloquear o envio de informações coletadas por estes bloquear o envio de informações coletadas por estes programas para terceiros.

(16)

Backdoors ( Porta dos Fundos)



 São programas se instalam em ambiente de serviçoSão programas se instalam em ambiente de serviço

de um computador, tornando-se acessível a

distância, permitindo o controle da máquina sem

que o usuário saiba.



 Possibilitando ao invasor qualquer ação, como:Possibilitando ao invasor qualquer ação, como:

ler seus e-mails, ver seus arquivos, copiar sua

(17)

A inclusão de um backdoor em um

computador



 Pode ser incluído por um invasor ou através de um cavaloPode ser incluído por um invasor ou através de um cavalo

de tróia; de tróia;



 Podem ser executados por diversos sistemas operacionais,Podem ser executados por diversos sistemas operacionais,

por exemplo: Windows, GNU/Linux entre outros; por exemplo: Windows, GNU/Linux entre outros;



 E a instalação de pacotes de software, tais como oE a instalação de pacotes de software, tais como o

BackOrifice e NetBus, da plataforma Windows, Se mal BackOrifice e NetBus, da plataforma Windows, Se mal configurados ou utilizados sem o consentimento do usuário, configurados ou utilizados sem o consentimento do usuário, podem ser classificados como backdoors.

(18)

Maneira de proteger um computador

de backdoors



 não não abrir abrir e-mail e-mail de de destinatários destinatários desconhecido;desconhecido;



 utilização de um firewall pessoal. Apesar de nãoutilização de um firewall pessoal. Apesar de não

eliminarem os backdoors, se bem configurados,

podem ser úteis para amenizar o

podem ser úteis para amenizar o problema;problema;



 jamais executar programas que não tenham sidojamais executar programas que não tenham sido

obtidos de fontes confiáveis

(19)

Keylogger

Definição:



 histórico de teclas usadas;histórico de teclas usadas; 

 teclas que você geralmente usa para definir a suateclas que você geralmente usa para definir a sua

senha;



 Keylogger é um programa capaz de capturar eKeylogger é um programa capaz de capturar e

armazenar as teclas digitadas pelo usuário no

(20)

Que informações um keylogger pode

obter se for instalado em um

computador?

Dentre as informações capturadas podem estar o

texto de um e-mail, dados digitados na declaração

de Imposto de Renda e outras informações

sensíveis, como senhas bancárias e números de

cartões de crédito.

(21)

Que informações um keylogger pode

obter se for instalado em um

computador?

Mas não só para capturar senhas e

informações

sigilosassigilosas

que essa ferramenta

serve, ele pode ser usado também para

saber o que as pessoas estão digitando no

computador, como por exemplo,

empresasempresas

que acham que seus funcionários estão

desperdiçando tempo em navegações

(22)

Diversos sites de instituições financeiras

utilizam teclados virtuais. Neste caso eu

estou protegido dos keyloggers?

Depende. Depende.



 Existem ferramentas tradicionais que capturam as informaçõesExistem ferramentas tradicionais que capturam as informações

digitadas e

digitadas e envia essasenvia essas informações por e-mail.informações por e-mail.



 Screenloggers,Screenloggers, conseguem "filmar"conseguem "filmar" o mouse ao colocar umao mouse ao colocar uma

senha em

senha em teclados virtuais.teclados virtuais.



 Existem também keyloggers específicos para determinadas tarefas,Existem também keyloggers específicos para determinadas tarefas,

como por exemplo,

(23)

Alguns exemplos de Keyloggers:

•

• _{Ardamax Keylogger 3.0}_{Ardamax Keylogger 3.0}

•

• _{Actual Keylogger}_{Actual Keylogger}

•

• _{Powered Keylogger 2.2}_{Powered Keylogger 2.2}

•

• _{MSN Messenger Keylogger 2.7}_{MSN Messenger Keylogger 2.7}

•

(24)

Como é feita a inclusão de um

keylogger em um computador?



 através de links e através de links e e-mails falsos.e-mails falsos. 

 Nem sempre é imediata a identificação de um Nem sempre é imediata a identificação de um

keylogger na sua máquina, principalmente porque

umas das principais características do keylogger é

umas das principais características do keylogger é trabalhar de maneira invisível

(25)

Como é feita a inclusão de um keylogger

em um computador?

Normalmente vem como parte de um programa spyware Normalmente vem como parte de um programa spyware

(software de monitoramento de atividades de um sistema que (software de monitoramento de atividades de um sistema que envia as informações coletadas para terceiros) ou cavalo de tróia envia as informações coletadas para terceiros) ou cavalo de tróia (programa normalmente recebido como um "presente" (cartão (programa normalmente recebido como um "presente" (cartão virtual, álbum de fotos, etc), que tem por objetivo executar virtual, álbum de fotos, etc), que tem por objetivo executar funções para as quais foi aparentemente projetado, bem como funções para as quais foi aparentemente projetado, bem como outras funções normalmente maliciosas e sem o conhecimento outras funções normalmente maliciosas e sem o conhecimento do usuário.

do usuário. Desta Desta forma, forma, é necessárié necessário que o que este este programa sprograma sejaeja executado para que o

(26)

Como posso proteger um computador

dos keyloggers?



 SpySweeper, SpyBot e Anti-Spy conseguem muitas vezesSpySweeper, SpyBot e Anti-Spy conseguem muitas vezes

capturar esse tipo de programa; capturar esse tipo de programa;



 Programas anti-vírus;Programas anti-vírus;



 Atenção para processos que consomem muita memória e queAtenção para processos que consomem muita memória e que

geralmente tem nomes “estranhos”; geralmente tem nomes “estranhos”;



 Se você usaSe você usa LinuxLinux, basta usar comandos como, basta usar comandos como # ps aux# ps aux ou ou oo comando

(27)

Worm Worm



 Programa capaz de se propagar automaticamente através dePrograma capaz de se propagar automaticamente através de

redes, enviando cópias de si mesmo de computador para redes, enviando cópias de si mesmo de computador para computador;

computador;



 Os vírus de worms são programas que se reproduzem de umOs vírus de worms são programas que se reproduzem de um

sistema para outro sem usar um arquivo hospedeiro. Em sistema para outro sem usar um arquivo hospedeiro. Em comparação aos vírus, que exigem um arquivo hospedeiro para comparação aos vírus, que exigem um arquivo hospedeiro para infectarem e se espalharem a partir

infectarem e se espalharem a partir dele;dele;



 Sua propagação se dá através da exploração de vulnerabilidadesSua propagação se dá através da exploração de vulnerabilidades

existentes ou falhas na configuração de

(28)

Como um worm pode afetar um

computador?



 Não tem como conseqüência os mesmos danos gerados por um Não tem como conseqüência os mesmos danos gerados por um vírus;vírus; 

 Worms são notadamente responsáveis por consumir muitos recursos;Worms são notadamente responsáveis por consumir muitos recursos; 

 Degradam sensivelmente o desempenho de redes e podem lotar oDegradam sensivelmente o desempenho de redes e podem lotar o

disco rígido de computadores; disco rígido de computadores;



 Geram grandes transtornos para aqueles que estão recebendo taisGeram grandes transtornos para aqueles que estão recebendo tais

cópias. cópias.

(29)

Como posso saber se meu computador

está sendo utilizado para propagar um

worm?



 Os worms realizam uma série de atividades,Os worms realizam uma série de atividades,

incluindo sua propagação, sem que o usuário tenha

conhecimento;



 Alguns programas antivírus permitem detectar aAlguns programas antivírus permitem detectar a

presença de worms e até mesmo evitar que eles se

propaguem. Porém, isto nem sempre é possível.

(30)

Como posso proteger um computador

de worms?



 Antivírus;Antivírus; 

 É importante que o sistema operacional e os softwaresÉ importante que o sistema operacional e os softwares

instalados em seu computador não possuam instalados em seu computador não possuam vulnerabilidades;

vulnerabilidades;



 Normalmente um worm procura explorar alguma Normalmente um worm procura explorar alguma

vulnerabilidade disponível em um computador, para vulnerabilidade disponível em um computador, para que possa se propagar;

que possa se propagar;



 As medidas preventivas mais importantes são aquelasAs medidas preventivas mais importantes são aquelas

que procuram evitar a existência de vulnerabilidades. que procuram evitar a existência de vulnerabilidades.



(31)

Bots e Botnets

De modo similar ao worm, o bot é De modo similar ao worm, o bot é um programa capaz de se um programa capaz de se propagar automaticamente, propagar automaticamente, explorando vulnerabilidades explorando vulnerabilidades existentes ou falhas na existentes ou falhas na configuração de softwares configuração de softwares instalados em um computador. instalados em um computador. Adicionalmente ao worm, dispõe Adicionalmente ao worm, dispõe de mecanismos de comunicação de mecanismos de comunicação com o invasor, permitindo que o com o invasor, permitindo que o bot seja controlado remotamente. bot seja controlado remotamente.

(32)

Bots são softwares maliciosos que se espalham de

maneira autônoma (tal como um worm),

aproveitando vulnerabilidades que podem ser

exploradas remotamente, senhas fáceis de

adivinhar, ou mesmo usuários mal informados que

executam inadvertidamente arquivos recebidos

pela Internet.

(33)

Como o invasor se comunica com o

bot?

Os bots se conectam por meio de um componente IRC

(Internet Relay Chat, uma rede para comunicação

online) a um determinado canal de um ou mais

servidores IRC. Normalmente, o software usado para

gerenciamento destes canais é modificado de forma

que sirvam a mais bots e que não revelem a

quantidade de bots associados. Assim está formada

uma botnet, que o atacante controla por meio de

comandos no canal IRC.

(34)

Que riscos as botnets representam

para o usuário doméstico? E para as

corporações?



 Bots se propagam explorando remotamente vulnerabilidadesBots se propagam explorando remotamente vulnerabilidades

nos sistemas; nos sistemas; 

 Usos mais comuns:Usos mais comuns:

-ataques de negação de serviço distribuído (DDoS); -ataques de negação de serviço distribuído (DDoS); -envio de Spam por meio de um componente do bot; -envio de Spam por meio de um componente do bot;

-captura de tráfego de rede no segmento -captura de tráfego de rede no segmento comprometido com o bot;

comprometido com o bot;

-captura do que é digitado no teclado do computador -captura do que é digitado no teclado do computador comprometido;

(35)

Como posso proteger um computador

dos bots?



 Antivírus;Antivírus; 

 Firewall pessoal;Firewall pessoal; 

 Manter o sistema operacional e os softwares instaladosManter o sistema operacional e os softwares instalados

em seu computador sempre atualizados e com todas as

correções de segurança (patches) disponíveis e

aplicados, para evitar que

(36)

Como um usuário comum pode se

defender contra bots e botnets?



 Há bots para Linux;Há bots para Linux; 

 Há bots para Windows;Há bots para Windows; 

 Os softwares antivírus também podem oferecer umaOs softwares antivírus também podem oferecer uma

barreira à instalação de bots, mas eles só são eficazes

contra arquivos recebidos pelos usuários, caso

contra arquivos recebidos pelos usuários, caso consigamconsigam

identificá-los como bots

identificá-los como bots;;



 Já os bots com capacidade de se instalar explorandoJá os bots com capacidade de se instalar explorando

uma vulnerabilidade remota, conseguem muitas vezes

(37)

Rootkits



 Conjunto de programas que fornece mecanismos paraConjunto de programas que fornece mecanismos para

esconder sua presença, conhecido como rootkit; esconder sua presença, conhecido como rootkit;



 Os rootkits possuem como objetivo principal, passar Os rootkits possuem como objetivo principal, passar

completamente despercebido pelo usuário; completamente despercebido pelo usuário;



 A principal intenção dele é se camuflar, impedindo queA principal intenção dele é se camuflar, impedindo que

antivírus comuns não o encontre. Isto é possível pois estas antivírus comuns não o encontre. Isto é possível pois estas aplicações têm a capacidade de interceptar as solicitações aplicações têm a capacidade de interceptar as solicitações feitas ao sistema operacional, podendo alterar o seu feitas ao sistema operacional, podendo alterar o seu resultado.

(38)

Que funcionalidades um rootkit pode

conter?



 Programas para esconder atividades e informaçõesProgramas para esconder atividades e informações

deixadas pelo invasor (normalmente presentes em deixadas pelo invasor (normalmente presentes em todos os rootkits), tais como arquivos, diretórios, todos os rootkits), tais como arquivos, diretórios, processos, conexões de rede, etc;

processos, conexões de rede, etc;



 Backdoors para assegurar o acesso futuro do invasor Backdoors para assegurar o acesso futuro do invasor

ao computador comprometido (presentes na maioria ao computador comprometido (presentes na maioria dos rootkits);

dos rootkits);



 Programas para remoção de evidências em arquivosProgramas para remoção de evidências em arquivos

de logs; de logs;

(39)



 Sniffers, para capturar informações na rede onde oSniffers, para capturar informações na rede onde o

computador está localizado, como por exemplo

senhas que estejam trafegando em claro, ou seja, sem

qualquer método de criptografia;



 Scanners, para mapear potenciais vulnerabilidades emScanners, para mapear potenciais vulnerabilidades em

outros computadores;



 outros tipos de malware, como cavalos de tróia,outros tipos de malware, como cavalos de tróia,

keyloggers, ferramentas de ataque de negação de

serviço, etc.

(40)

Como posso saber se um rootkit foi

instalado em um computador e como

protegê-lo?



 A melhor solução mesmo é a A melhor solução mesmo é a prevenção.prevenção. 

 Adquirir um software de detecção, existem regrasAdquirir um software de detecção, existem regras

para evitar a infecção por rootkit que, geralmente,

são as mesmas usadas para evitar a infecção de

programas maliciosos em geral, são elas:

(41)

•

• _{Ter instalado na máquina softwares de segurança}_{Ter instalado na máquina softwares de segurança}

(antivírus, anti-spyware, anti-rootkit,...);

•

• Manter os softwares aplicativos, utilitários e oManter os softwares aplicativos, utilitários e o

sistema operacional atualizados;

•

• _{Ter maior cuidado ao baixar arquivos de redes P2P, é}_{Ter maior cuidado ao baixar arquivos de redes P2P, é}

recomendável que baixe arquivos somente de sites

confiáveis;

•

• Evitar o download de cracks;Evitar o download de cracks;

•

• _{Ter instalado um firewall pessoal;}_{Ter instalado um firewall pessoal;}

•

• _{Se possível executar o sistema com privilégios}_{Se possível executar o sistema com privilégios}

limitados;

(42)

Ferramentas de detecção específicas

•

• _{RootkitRevealer}_{RootkitRevealer}

•

• _{F-Secure Blacklight}_{F-Secure Blacklight}

•

• _UnHackMe_UnHackMe

•

• _{Rootkit Hook Analyser}_{Rootkit Hook Analyser}

•

• AVG Anti-RootkitAVG Anti-Rootkit

•

(43)

Refêrencias

CARTILHA

CARTILHA DE DE SEGURANÇA SEGURANÇA PARA PARA INTERNETINTERNET 3.13.1, Disponível, Disponível

em:

em: http://cartilha.cert.br/http://cartilha.cert.br/, Acesso em: 20 out. 2008., Acesso em: 20 out. 2008.

SYMANTE CORPORATION

SYMANTE CORPORATION_,_, _Disponível_Disponível _em:_em:

<http://www.symantec.com/region/br/avcenter/education <http://www.symantec.com/region/br/avcenter/education /index.html#1>, Acesso em: 20 out. 2008.

/index.html#1>, Acesso em: 20 out. 2008.

LINHA DEFENSIVA

LINHA DEFENSIVA_,_, _Disponível_Disponível _em:_em:

http://www.linhadefensiva.org/2006/02/botnets-redes-zumb

, Acesso em:

, Acesso em: 20 out. 2008.20 out. 2008.

UNDER-LINUX.ORG

UNDER-LINUX.ORG, , Disponível Disponível em:em:

http://under-linux.o