segurança da informação tópico 36 – vírus (malwares) prof.davison marques
TRANSCRIPT
Segurança da Informação
Tópico 36 – Vírus (Malwares)
Prof.Davison Marques
Virus
Definição Definição Um vírus é um agente infeccioso, sem metabolismo independente e que Um vírus é um agente infeccioso, sem metabolismo independente e que pode se replicar somente no interior de células hospedeiras vivas.pode se replicar somente no interior de células hospedeiras vivas.
O termo vírus foi utilizado pela primeira vez durante a década de 80 O termo vírus foi utilizado pela primeira vez durante a década de 80 para definir um programa capaz de copiar a si mesmo para dentro de para definir um programa capaz de copiar a si mesmo para dentro de um programa maior, modificando este programa, que pode ser um programa maior, modificando este programa, que pode ser chamado de hospedeiro. Ao se executar o hospedeiro, o vírus de chamado de hospedeiro. Ao se executar o hospedeiro, o vírus de computador pode fazer outras cópias de si mesmo e infectar outros computador pode fazer outras cópias de si mesmo e infectar outros programas. Quando os programas são trocados pelos usuários, eles programas. Quando os programas são trocados pelos usuários, eles levam consigo o vírus, infectando outros sistemas.levam consigo o vírus, infectando outros sistemas.
Definição Definição Os vírus de computador podem anexar-se a quase todos os tipos de Os vírus de computador podem anexar-se a quase todos os tipos de arquivo e espalhar-se com arquivos copiados e enviados de usuário para arquivo e espalhar-se com arquivos copiados e enviados de usuário para usuário. usuário.
Uma simples rotina, ou comando, pode disparar o gatilho do vírus, que Uma simples rotina, ou comando, pode disparar o gatilho do vírus, que pode mostrar apenas mensagens ou imagens (sem danificar aquivos da pode mostrar apenas mensagens ou imagens (sem danificar aquivos da máquina infectada), ou destruir arquivos e reformatar o disco rígido. máquina infectada), ou destruir arquivos e reformatar o disco rígido.
Se o vírus não contém uma rotina de danos, ele pode consumir Se o vírus não contém uma rotina de danos, ele pode consumir capacidade de armazenamento e de memória ou diminuir o capacidade de armazenamento e de memória ou diminuir o desempenho do PC infectado.desempenho do PC infectado.
Virus
Como se propagam Como se propagam Os vírus de propagam por meio de disquetes e de arquivos Os vírus de propagam por meio de disquetes e de arquivos compartilhados, pelas redes corporativas, por arquivos anexados em compartilhados, pelas redes corporativas, por arquivos anexados em mensagens de correio eletrônico e pela Internet. mensagens de correio eletrônico e pela Internet.
A rede mundial é hoje a principal via de propagação dos vírus -A rede mundial é hoje a principal via de propagação dos vírus -principalmente os de macro e os chamados "Cavalos de Tróia"-, pois ela principalmente os de macro e os chamados "Cavalos de Tróia"-, pois ela permite que os usuários de computador façam download de vários permite que os usuários de computador façam download de vários programas e arquivos de fontes nem sempre confiáveis. programas e arquivos de fontes nem sempre confiáveis.
Virus
Como se propagam Como se propagam A forma mais comum de um vírus de boot se espalhar é iniciar um A forma mais comum de um vírus de boot se espalhar é iniciar um computador com um disquete infectado na unidade A:. Muitas vezes isto computador com um disquete infectado na unidade A:. Muitas vezes isto ocorre quando você acidentalmente esquece um disco de dados na ocorre quando você acidentalmente esquece um disco de dados na unidade A: ao iniciar o computador. O disquete infectado imediatamente unidade A: ao iniciar o computador. O disquete infectado imediatamente grava seu código no registro mestre de inicialização (MBR). O MBR é grava seu código no registro mestre de inicialização (MBR). O MBR é executado sempre que o computador é iniciado; portanto, deste executado sempre que o computador é iniciado; portanto, deste momento em diante, o vírus é executado sempre que o computador é momento em diante, o vírus é executado sempre que o computador é iniciado. iniciado.
Virus
Como se propagam Como se propagam Em geral, os contaminadores de arquivo são espalhados por um usuário Em geral, os contaminadores de arquivo são espalhados por um usuário que inadvertidamente executa um programa infectado. O vírus é que inadvertidamente executa um programa infectado. O vírus é carregado na memória junto com o programa. Em seguida, ele infecta carregado na memória junto com o programa. Em seguida, ele infecta todo programa executado por este programa original ou por qualquer todo programa executado por este programa original ou por qualquer pessoa neste computador. Isto ocorre até a próxima vez em que a pessoa neste computador. Isto ocorre até a próxima vez em que a máquina for desligada. máquina for desligada.
Virus
Tipos - Arquivo Tipos - Arquivo Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa normal ou tipo de praga adiciona o código a um arquivo de programa normal ou sobrescreve o arquivo. sobrescreve o arquivo.
Ele costuma infectar arquivos executáveis do Windows, Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age diretamente sobre arquivos de especialmente .com e .exe, e não age diretamente sobre arquivos de dados. dados.
Para que seu poder destrutivo tenha efeito, é necessário que os Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam executados. arquivos contaminados sejam executados.
Virus
Tipos - Alarme falso Tipos - Alarme falso Não causa dano real ao computador, mas consome tempo de conexão à Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior número de Internet ao levar o usuário a enviar o alarme para o maior número de pessoas possível. pessoas possível.
Se enquadra na categoria de vírus-boato e cartas-corrente. Se enquadra na categoria de vírus-boato e cartas-corrente.
Virus
Tipos - Boot Tipos - Boot Os vírus de setor de boot infectam a área do sistema de um disco - ou Os vírus de setor de boot infectam a área do sistema de um disco - ou seja, o registro de inicialização em disquetes e discos rígidos. Todos os seja, o registro de inicialização em disquetes e discos rígidos. Todos os disquetes e discos rígidos (incluindo discos com dados apenas) contêm disquetes e discos rígidos (incluindo discos com dados apenas) contêm um pequeno programa no registro de inicialização que é executado um pequeno programa no registro de inicialização que é executado quando o computador é iniciado. Os vírus de setor de boot anexam-se a quando o computador é iniciado. Os vírus de setor de boot anexam-se a esta parte do disco e são ativados quando o usuário tenta iniciar a partir esta parte do disco e são ativados quando o usuário tenta iniciar a partir do disco infectado. Exemplos de vírus de setor de boot são Form, Disk do disco infectado. Exemplos de vírus de setor de boot são Form, Disk Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como Killer, Michelangelo e Stoned. (Outra classe de vírus, conhecida como vírus multiparticionados, infecta os registros de boot e os arquivos de vírus multiparticionados, infecta os registros de boot e os arquivos de programa).programa).
Virus
Como Evitar Vírus de Setor de InicializaçãoComo Evitar Vírus de Setor de InicializaçãoEvite deixar um disco flexível no computador quando desligá-lo. Na Evite deixar um disco flexível no computador quando desligá-lo. Na reinicialização, o computador tentará ler a unidade e é neste momento reinicialização, o computador tentará ler a unidade e é neste momento que o vírus de setor de inicialização pode infectar o disco rígido. que o vírus de setor de inicialização pode infectar o disco rígido.
Sempre proteja seus disquetes contra gravação depois de terminar de Sempre proteja seus disquetes contra gravação depois de terminar de gravar neles.gravar neles.
Virus
Tipos - MacroTipos - MacroOs vírus de macro infectam os arquivos dos programas Microsoft Office Os vírus de macro infectam os arquivos dos programas Microsoft Office Word, Excel, PowerPoint e Access. Variações mais recentes também Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. estão aparecendo em outros programas.
Todos estes vírus usam a linguagem de programação interna do Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem programa, que foi criada para permitir que os usuários automatizem determinadas tarefas neste programa. determinadas tarefas neste programa.
Devido à facilidade com que estes vírus podem ser criados, existem Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados. milhares deles espalhados.
Virus
Tipos - MutanteTipos - MutanteVírus programado para dificultar a detecção por antivírus. Ele se altera a Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado.cada execução do arquivo contaminado.
Tipos – PolimorficoTipos – PolimorficoVariação mais inteligente do vírus mutante. Ele tenta difiultar a ação Variação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de dos antivírus ao mudar sua estrutura interna ou suas técnicas de codificação. codificação.
Virus
Tipos - ScriptTipos - ScriptVírus programado para executar comandos sem a interação do usuário. Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem de Há duas categorias de vírus script: a VB, baseada na linguagem de programação, e a JS, baseada em JavaScript. programação, e a JS, baseada em JavaScript.
O vírus script pode vir embutido em imagens e em arquivos com O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas, como .vbs.doc, vbs.xls ou js.jpg extensões estranhas, como .vbs.doc, vbs.xls ou js.jpg
Virus
Tipos - StealthTipos - StealthVírus "invisível" que usa uma ou mais ténicas para evitar detecção. Vírus "invisível" que usa uma ou mais ténicas para evitar detecção.
O stealth pode redirecionar indicadores do sistema de modo a infectar O stealth pode redirecionar indicadores do sistema de modo a infectar um arquivo sem necessariamente alterar o arquivo infectado. um arquivo sem necessariamente alterar o arquivo infectado.
Virus
Worms
DefiniçãoDefiniçãoSão programas maliciosos independentes que, diferentemente dos São programas maliciosos independentes que, diferentemente dos vírus, não necessitam contaminar outros programas ou mesmo de vírus, não necessitam contaminar outros programas ou mesmo de interferência humana para se propagarem. Aproveitam-se de brechas interferência humana para se propagarem. Aproveitam-se de brechas ou vulnerabilidades nos sistemas, para se instalarem e se replicarem ou vulnerabilidades nos sistemas, para se instalarem e se replicarem através de computadores conectados em rede, enviando cópias de si através de computadores conectados em rede, enviando cópias de si mesmo de um computador para outro.mesmo de um computador para outro.
Cavalo de Tróia
DefiniçãoDefiniçãoNa mitologia clássica, o cavalo de Tróia foi um imenso cavalo de Na mitologia clássica, o cavalo de Tróia foi um imenso cavalo de madeira, construído pelos gregos sob a liderança de Odisseu. Após sua madeira, construído pelos gregos sob a liderança de Odisseu. Após sua construção, encheram seu interior com soldados armados e o deixaram construção, encheram seu interior com soldados armados e o deixaram como oferenda às portas da cidade de Tróia, em sinal de uma suposta como oferenda às portas da cidade de Tróia, em sinal de uma suposta rendição. Uma vez levado para dentro da cidade, os soldados saíram do rendição. Uma vez levado para dentro da cidade, os soldados saíram do cavalo e abriram os portões para o restante do exército grego, que cavalo e abriram os portões para o restante do exército grego, que atacou a cidade e ganhou uma guerra que durou cerca de dez anos.atacou a cidade e ganhou uma guerra que durou cerca de dez anos.
DefiniçãoDefiniçãoAnalogamente, um cavalo de Tróia em computadores é um programa Analogamente, um cavalo de Tróia em computadores é um programa que pode ter aparência inofensiva, mas esconde uma outra função que que pode ter aparência inofensiva, mas esconde uma outra função que é executar uma operação não autorizada. é executar uma operação não autorizada.
Um cavalo de Tróia típico pode ser um programa atrativo, cujo objetivo Um cavalo de Tróia típico pode ser um programa atrativo, cujo objetivo é instalar um grampo de teclado que envia para alguém não autorizado é instalar um grampo de teclado que envia para alguém não autorizado as senhas do usuário. Outro exemplo é a inclusão de backdoors, para as senhas do usuário. Outro exemplo é a inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador.permitir que um atacante tenha total controle sobre o computador.
Costuma ser disseminado como um anexo de e-mail. Não se replica Costuma ser disseminado como um anexo de e-mail. Não se replica automaticamente.automaticamente.
Cavalo de Tróia
Spyware
DefiniçãoDefiniçãoSoftware que coleta informações de usuários de computador, sem que Software que coleta informações de usuários de computador, sem que suas vítimas tenham conhecimento. Ao se conectar à Internet, o suas vítimas tenham conhecimento. Ao se conectar à Internet, o software passa a transmitir informações sobre os hábitos de navegação software passa a transmitir informações sobre os hábitos de navegação ou até mesmo senhas do usuário.ou até mesmo senhas do usuário.
Geralmente é distribuído com outros programas disponíveis para Geralmente é distribuído com outros programas disponíveis para download como programas freeware (gratuitos) e shareware (com download como programas freeware (gratuitos) e shareware (com período de uso determinado)período de uso determinado)
Backdoor
DefiniçãoDefiniçãoLiteralmente traduzido, "porta dos fundos". São mecanismos Literalmente traduzido, "porta dos fundos". São mecanismos introduzidos em um sistema pelos seus próprios responsáveis. introduzidos em um sistema pelos seus próprios responsáveis.
Sua função principal é fornecer uma forma de entrada no sistema, que Sua função principal é fornecer uma forma de entrada no sistema, que contorne as proteções principais. Apesar de nem sempre elaborados contorne as proteções principais. Apesar de nem sempre elaborados com intenções maliciosas, algumas vezes podem ser deixados com intenções maliciosas, algumas vezes podem ser deixados acidentalmente, criando grandes problemas para os usuários finais.acidentalmente, criando grandes problemas para os usuários finais.
Phishing Scam
DefiniçãoDefiniçãoE-mail não solicitado que tenta convencer o destinatário a acessar E-mail não solicitado que tenta convencer o destinatário a acessar páginas fraudulentas na Internet com o objetivo de capturar páginas fraudulentas na Internet com o objetivo de capturar informações como senhas de contas bancárias e números de cartões de informações como senhas de contas bancárias e números de cartões de crédito.crédito.
Para enganar a vítima, os sites falsos são muito parecidos com as Para enganar a vítima, os sites falsos são muito parecidos com as páginas verdadeiras.páginas verdadeiras.
Phishing Scam
Phishing Scam
Phishing Scam
Phishing Scam
Formas de proteção
É fundamental ter um programa antivírus e mantê-lo sempre atualizado. É fundamental ter um programa antivírus e mantê-lo sempre atualizado. A grande maioria dos programas atuais faz isso automaticamente.A grande maioria dos programas atuais faz isso automaticamente.
Para quem utiliza acesso Internet através de banda larga, outro Para quem utiliza acesso Internet através de banda larga, outro programa fundamental é o firewall. Ele é uma barreira que impede programa fundamental é o firewall. Ele é uma barreira que impede acessos não autorizados ao micro -muitas vezes tentativas de invasão acessos não autorizados ao micro -muitas vezes tentativas de invasão por hackers. por hackers.
Outra ameaça cada vez mais comuns são os scams -e-mails com Outra ameaça cada vez mais comuns são os scams -e-mails com mensagens com links que levam a sites com vírus e cavalos-de-tróia. mensagens com links que levam a sites com vírus e cavalos-de-tróia. Para se proteger, use um programa antispam. Para se proteger, use um programa antispam.
Formas de proteção
Se alguns e-mails escaparem do programa antispam, vale a regra: Se alguns e-mails escaparem do programa antispam, vale a regra: nunca clique em links de mensagens de emissário é desconhecido. Não nunca clique em links de mensagens de emissário é desconhecido. Não acredite em promoções, brindes, ameaças do Serasa ou do Imposto de acredite em promoções, brindes, ameaças do Serasa ou do Imposto de Renda. Esses órgãos, assim como os bancos, evitam o envio de e-mails Renda. Esses órgãos, assim como os bancos, evitam o envio de e-mails com links, ainda mais para baixar programas. Nunca coloque seus dados com links, ainda mais para baixar programas. Nunca coloque seus dados em formulários de e-mail.em formulários de e-mail.
Também é preciso muito cuidado com arquivos anexados em e-mails. Também é preciso muito cuidado com arquivos anexados em e-mails. Nunca execute programas enviados por desconhecidos. Na dúvida, Nunca execute programas enviados por desconhecidos. Na dúvida, salve o arquivo em sua área de trabalho (desktop) e mande o antivírus salve o arquivo em sua área de trabalho (desktop) e mande o antivírus escanear o arquivo.escanear o arquivo.
Formas de proteção
O mesmo vale para arquivos baixados em programas ponto-a-ponto, O mesmo vale para arquivos baixados em programas ponto-a-ponto, como Kazaa, Emule e Soulseek. Sempre use um antivírus para escanear como Kazaa, Emule e Soulseek. Sempre use um antivírus para escanear cada arquivo que baixar.cada arquivo que baixar.
Jamais coloque suas senhas em arquivos no micro, como em Jamais coloque suas senhas em arquivos no micro, como em documentos do Word ou de texto (.txt). São alvos fáceis em caso de documentos do Word ou de texto (.txt). São alvos fáceis em caso de invasão do sistema.invasão do sistema.
Evite visitar sites "suspeitos", como de pornografia e de hackers. A Evite visitar sites "suspeitos", como de pornografia e de hackers. A maioria desses sites tenta instalar na máquina programinhas como maioria desses sites tenta instalar na máquina programinhas como discadores ou cavalos-de-tróiadiscadores ou cavalos-de-tróia
Anti-vírus
Um software anti-virus deve monitorar automaticamente todos os Um software anti-virus deve monitorar automaticamente todos os arquivos que são abertos no computador. O código de computador que arquivos que são abertos no computador. O código de computador que compõe cada um dos arquivos é comparado com as coleções de compõe cada um dos arquivos é comparado com as coleções de amostras, comumente chamadas de vacinas, que nada mais são do que amostras, comumente chamadas de vacinas, que nada mais são do que acervos com pedaços do código dos virus. acervos com pedaços do código dos virus.
Se um arquivo tiver trechos similares aos de um vírus, está Se um arquivo tiver trechos similares aos de um vírus, está contaminado. O software anti-virus tenta restaurar o arquivo originalcontaminado. O software anti-virus tenta restaurar o arquivo original
Anti-vírus
O software anti-virus não garante que o computador não será infectado. O software anti-virus não garante que o computador não será infectado. Se o programa não estiver com as vacinas atualizadas, ou se uma praga Se o programa não estiver com as vacinas atualizadas, ou se uma praga nova atacar o computador, há grandes possibilidades de que ele seja nova atacar o computador, há grandes possibilidades de que ele seja contaminado.contaminado.
Com a evolução tecnológica a disseminação e variação dos vírus, os Com a evolução tecnológica a disseminação e variação dos vírus, os softwares anti-virus também evoluiram, para se adequar a diferentes softwares anti-virus também evoluiram, para se adequar a diferentes arquiteturas e plataformas operacionais das empresas.arquiteturas e plataformas operacionais das empresas.
Virus
O desenvolvimento das vacinas segue o seguinte processo:O desenvolvimento das vacinas segue o seguinte processo:
Após receber uma amostra do vírus (geralmente fornecidas pelos Após receber uma amostra do vírus (geralmente fornecidas pelos usuários do software anti-virus), os fornecedores do software anti-virus usuários do software anti-virus), os fornecedores do software anti-virus desmontam seu código, usando programas conhecidos como desmontam seu código, usando programas conhecidos como descompiladores.descompiladores.
Os descompiladores transformam o virus original, que está escrito num Os descompiladores transformam o virus original, que está escrito num código compreensível apenas para o computador, em código-fonte, código compreensível apenas para o computador, em código-fonte, possibilitando uma análise mais detalhada.possibilitando uma análise mais detalhada.
Além de estudar o interior dos virus, os pesquisadores analisam seu Além de estudar o interior dos virus, os pesquisadores analisam seu comportamento, ativando-os em computadores isolados, conhecidos comportamento, ativando-os em computadores isolados, conhecidos como “encubadoras”, e observam o resultado.como “encubadoras”, e observam o resultado.
Virus
Parte do código dos virus são colocados nas vacinas que são testadas Parte do código dos virus são colocados nas vacinas que são testadas em computadores infectados para comprovar a eficácia das mesmas. em computadores infectados para comprovar a eficácia das mesmas.
Após os testes as vacinas são distribuídas aos usuários. Após os testes as vacinas são distribuídas aos usuários.