virus - monografia

66
1 UNIRONDON CENTRO UNIVERSITÁRIO MARCOS VINICIUS GOULART ATUAÇÃO DO VÍRUS CONFICKER Cuiabá 2009.

Upload: marcosvgoulart

Post on 14-Jun-2015

2.061 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Virus - Monografia

1

UNIRONDON CENTRO UNIVERSITÁRIO

MARCOS VINICIUS GOULART

ATUAÇÃO DO VÍRUS CONFICKER

Cuiabá 2009.

Page 2: Virus - Monografia

2

MARCOS VINICIUS GOULART

ATUAÇÃO DO VÍRUS CONFICKER

Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do título de Bacharel em Ciência da Computação, do curso de Ciência da Computação da Faculdade do curso de Ciência da Computação da Fundação UNIRONDON área de concentração em informática.

Orientador: Prof° André Valente do Couto

Cuiabá 2009

Page 3: Virus - Monografia

3

MARCOS VINICIUS GOULART

ATUAÇÃO DO VÍRUS CONFICKER

Trabalho de conclusão de curso apresentado como parte das atividades para obtenção do títu-lo de Bacharel em Ciência da Computação, do curso de Ciência da Computação da Faculdade do curso de Ciência da Computação da Funda-ção UNIRONDON área de concentração em in-formática

Aprovado em 04 de dezembro de 2009.

BANCA EXAMINADORA

__________________________________________ Prof. André Couto Valente Unirondon Centro Universitário

__________________________________________ Prof. Andersown Becher Paes de Barros Unirondon Centro Universitário

__________________________________________ Prof. Reginaldo Hugo Szezupior dos Santos Unirondon Centro Universitário

Page 4: Virus - Monografia

4

Dedico este trabalho aqueles que, direta ou indiretamente, colaboraram

oferecendo sugestões, fazendo leitura ou discutindo particularidades.

Page 5: Virus - Monografia

5

Agradeço a todos os que me ajudaram na elaboração deste trabalho

especialmente o meu orientador: André Valente do Couto e a professora - Renata

Bortoluz que não mediram esforços. E aos meus familiares que com sabedoria me

conduziram no caminho da vida.

Page 6: Virus - Monografia

6

Inclina o ouvido, e ouve as palavras dos sábios, e aplica o

teu coração ao meu conhecimento.

Proverbios 22:11

Page 7: Virus - Monografia

7

RESUMO

O crescente número de contaminações de vírus de computador na atual década tem levado várias empresas na área de segurança da informação a se tornar mais espe-cializadas nestes tipos de pragas e variantes, que vem se alastrando cada vez em uma velocidade crescente, destruindo e roubando informações, trazendo milhões de reais em prejuízo para as empresas e computadores pessoais. O grande aumento vem assustando de maneira grandiosa, com base na atual década a 1.650.277 mi-lhões de vírus conhecidos ou assinaturas de vírus, perfazendo que os vírus feitos pelos os Hackers têm uma abrangência muito diferente daquela época. Os Hackers são pessoas que atacam outras máquinas com fins criminosos com um objetivo tra-çado: capturar senhas bancárias, números de conta e informações privilegiadas que lhes despertem a atenção. As ameaças da internet geraram prejuízos de US$ 13,3 bilhões às empresas em todo o mundo, a pesquisa inclui os vírus spyware, adware, vírus de banker, limpezas feitas pelos antivírus, baixa produtividade por causa de sistema lento e a quantidade de tempo para a restauração do sistema contaminado. Prevendo isso pode-se detalhar as situações possíveis dos computadores da atual década e detalhar um dos vírus mais famosos de devastadores desta época, levan-tando as soluções possíveis para a prevenção contra os vírus de computador e de-mais pragas. Atuando com diferentes antivírus para fazer o scan nos computadores e das redes. O detalhamento será da seguinte forma, atividade na rede, conexões de rede, estatísticas de objetos infectados e limpos, contaminação de documentos, e-mail, acesso a web, programas limpos, programas infectados, programas perigo-sos e programas maliciosos.

Palavras-chave: Vírus de computador, keylloger, spyware, tronjans, antivírus.

Page 8: Virus - Monografia

8

ABSTRACT

The increasing number of contaminations of virus of computer in the current decade has led varies companies in the area of security of the information if to become more specialized in these types of plagues and variants, that come if spreading each time in increasing speed, destroying and stealing information, bringing personal Real mil-lions in damage for companies and computers. The great increase comes scaring in huge way, on the basis of the current decade has 1.650.277 million known viruses or assi of virus, perfazendo that the viruses made for the Hackers have a very different abragencia of that time. Hackers is people who attack other machines with criminal ends with a traced objective: to capture banking passwords, numbers of account and privileged information that them despertem the attention. The threats of the Internet had generated US$ damages 13,3 billion to the companies in the whole world, the research include the viruses spyware, adware, virus of banker, cleannesses made for the antiviruses, low productivity because of slow system and the amount of time for the restoration of the contaminated system. Foreseeing this we will go to detail the possible situções of the computers of the current decade and to detail one of the viruses fomosos of devastadores of this time, being raised the possible solutions for the prevention against the viruses of computer and too much plagues. We will go to use different antiviruses for the scaniamento of the computers and the nets. The de-tailing will be of the following form, activity in the net, connections of net, infectados and clean object statisticians, document contamination, email, clean access web, programs, infectados programs, dangerous programs and malicious programs.

Keywords: computer viruses, keylloger, spyware, tronjans, antivirus.

Page 9: Virus - Monografia

9

LISTA DE ILUSTRAÇÕES

Figura 1 Novas assisnaturas de códigos maliciosos ................................................ 20

Figura 2 Infecções no mundo .................................................................................. 20

Figura 3 Abrindo arquivos no USB .......................................................................... 24

Figura 4 Generalização do Conficker ...................................................................... 25

Figura 7 svchost.exe ............................................................................................... 29

Figura 8 Autorun.inf infectado ................................................................................. 30

Figura 9 Arquivo jwgkvsq.vmx ................................................................................. 31

Figura 10 Permissão da chave de registro .............................................................. 32

Figura 11 Código de geração de domínio ............................................................... 33

Figura 12 Aumento de trafego ................................................................................. 34

Figura 13 Acessando sites bloqueados pelo Conficker ........................................... 35

Figura 15 Serviços desabilitados pelo Conficker ..................................................... 37

Figura 16 Atualização Automática ........................................................................... 38

Figura 17 Desabilitando o Windows Defender ........................................................ 39

Figura 18 Central de segurança desabilitado pelo Conficker .................................. 40

Figura 19 Tarefa agendada pelo Conficker ............................................................. 41

Figura 20 Abrindo uma tarefa agendada pelo vírus ................................................ 42

Figura 21 Infecção via rede P2P ............................................................................. 43

Figura 22 Abertura de arquivo duplicado................................................................. 45

Figura 23 Abrir pasta certa ..................................................................................... 46

Figura 24 Alteração de registro de USB .................................................................. 47

Figura 25 Antivírus detectando Conficker ................................................................. 47

Figura 26 Windows Update ..................................................................................... 49

Figura 27 Windows Update diferente ...................................................................... 50

Figura 28 Avast ....................................................................................................... 51

Figura 29 AVG ......................................................................................................... 51

Figura 30 AVIRA ....................................................................................................... 52

Figura 31 Kasperky ................................................................................................. 53

Figura 32 NOD32 .................................................................................................... 54

Figura 33 Aumento de trafego na rede ..................................................................... 56

Figura 34 Inserir sites bloqueados .......................................................................... 57

Figura 36 Infected ................................................................................................... 59

Figura 37 Vulnerable ............................................................................................... 60

Figura 38 Fixed ....................................................................................................... 61

Page 10: Virus - Monografia

10

SUMÁRIO

Introdução ................................................................................................................ 11

1 Os vírus de computador .................................................................................... 13

1.1 A tecnologia ................................................................................................................ 13

1.1.1 Perigos da tecnologia ................................................................................................................... 14

1.2 O que é um vírus? ...................................................................................................... 15

1.2.1 História dos Vírus ......................................................................................................................... 15

1.2.2 Tipos de vírus ............................................................................................................................... 19

1.2.3 Estatísticas de vírus ..................................................................................................................... 19

1.2.4 Vírus a ser estudado .................................................................................................................... 21

2 O Conficker ..................................................................................................... 22

2.1 Caracteristicas ............................................................................................................ 23

2.1.1 Diretórios ...................................................................................................................................... 26

2.1.2 Contaminação do registro ............................................................................................................ 27

2.1.3 Infecção USB ............................................................................................................................... 30

2.1.4 Infecção via internet ..................................................................................................................... 31

2.1.5 Sintomas da infecção da rede ...................................................................................................... 34

2.1.6 Ativação do agendador de tarefas ............................................................................................... 40

2.1.7 Infecção via P2P .......................................................................................................................... 42

2.2 Remoção e prevenção ................................................................................................ 44

2.2.1 Atualização Crítica ....................................................................................................................... 48

2.2.2 Firewall ......................................................................................................................................... 54

2.2.3 Administradores de rede .............................................................................................................. 58

2.2.4 Prevenções gerais ........................................................................................................................ 61

Considerações finais .............................................................................................. 63

Referências bibliográficas ...................................................................................... 65

Page 11: Virus - Monografia

11

INTRODUÇÃO

Considerando que os computadores das redes mundiais não estão 100% segu-

ros, necessitam de uma segurança muito maior por necessidade dos usuários não

se darem conta das vulnerabilidades que se encontram nos sistemas que estão u-

sando. Usuários dos computadores guardam arquivos importantes, digitam senhas

de diversos tipos, como senhas de emails, sistemas para acesso restrito, comunida-

des, acessam bancos e dentro outras informações preciosas, estando assim cor-

rendo vários perigos como perda de dados, roubo de dados, lentidão nos sistemas e

o corrompimento das informações; através deste estudo, irei conceder uma maior

segurança de informação dos dados e dos sistemas, protegendo conforme concep-

ções apresentadas por nossos testes, com vírus mais atual e famoso desta época,

dissecando-o e mostrado suas formas de atuações, seu código fonte e o bloqueio

destes vírus. Com estes dados pode-se elaborar um estudo detalhado, produzindo

estatísticas de vírus e suas variantes.

Tendo em mãos estes dados, pode-se classificar os programas maliciosos

(Malware) que são criados para provocar danos ao computador e ao seu utilizador:

por exemplo, para roubar, bloquear, alterar ou apagar informação ou para perturbar

o funcionamento de um computador ou de uma rede de computadores e os progra-

mas potencialmente indesejados, ao contrário dos programas maliciosos, que não

se destinam unicamente a provocar danos, mas podem ajudar a penetrar no siste-

ma de segurança de um computador, para produzir detalhadamente às formas de

contaminações segundo o estudo e também as melhores proteções para estes tipos

de contaminações, evitando assim as contaminações destas pragas virtuais.

Com o conceito de uma cultura de atualização de software, práticas bem elabo-

radas de proteção em tempo real (análise heurística), utilização de software livre

aonde não existe estes tipos de contaminações, limpeza de arquivos aonde se pode

encontrar tais pragas virtuais, criação e recuperação de disco, monitoramento de

rede em tempo real para que possam encontrar anormalidades, bloqueio de arquivo

auto executáveis ou autorun e correção de falhas do sistema com o conceito de que

Page 12: Virus - Monografia

12

sistemas atualizados estão muito mais seguros do que sistemas que não atualizam

ou corrigem suas falhas.

Nesse contexto, inserem-se a importância de estudos relativos ao nível de con-

taminações propostas deste vírus atual que tem infectado milhões de computadores

apresentando seus efeitos no mesmo dia. O presente trabalho teve como objetivo

avaliar o nível de proteção e perdas provocadas por vírus no século atual.

Esta pesquisa pretende analisar a contaminação do vírus conficker nos sistemas

oepracionais Windows XP.

Indentificar a propagação do vírus conficker nos Sistemas Operacionais do Win-

dows XP.

Investigar o comprometimento do Sistema Operacional na apresentação do

Conficker.

Investigar as formas de contaminação do Conficker e descrever a forma de re-

moção do Conficker.

Page 13: Virus - Monografia

13

1 OS VÍRUS DE COMPUTADOR

A sabedoria é a coisa principal; adquire pois a sabedoria, emprega tudo o que possuis na aquisição de entendimento.

Provérbios 4:7

1.1 A tecnologia

Para compreender os aspectos referentes à tecnologia, o primeiro passo consis-

te em discutir o que é tecnologia.

Para Goodman (1990), além de presente em todas as formas de organização, a

tecnologia é também uma potente força. Ela pode estender as capacitações huma-

nas. A revolução industrial por exemplo, utilizou tecnologia para estender a capaci-

dade física de trabalho. De forma análoga, a revolução da informática está esten-

dendo as nossas capacitações mentais e redistribuindo o tempo que gastamos nas

diversas atividades.

Segundo ainda o mesmo autor, a tecnologia é dinâmica e evolui rapidamente. O

seu desenvolvimento está longe de terminar. O rápido desenvolvimento das novas

formas de tecnologia dificultam identificar como as novas formas de organização

aparecerão no futuro.

Para Orrico (2004) as tecnologias estão se multiplicando muito rápido, mas al-

gumas destas são desenvolvidas não para nos auxiliar na melhoria, mas sim muitas

vezes são ameaçadoras o suficiente e poderosa para a destruição. Estes são co-

nhecidas como vírus de computador.

O autor ainda faz uma afirmação que somente as pessoas com conhecimen-

to avançado de programação criavam vírus, devido ao nível de linguagem de que

era requisitado e uma abrangência de conhecimento do programador que estava em

questão. Hoje é bem diferente, pois já existem vários programas que criam vírus ao

gosto dos usuários, e também empresas fictícias que cobram um serviço por deter-

minação do cliente, a exemplo de um roubo de banco de dados.

Page 14: Virus - Monografia

14

Por estas questões, ficar atualizados, atentos e preparados é a melhor opção

para combater e identificar os vírus infestados em nossos computadores, para que

não passe por estes maus percalços.

1.1.1 Perigos da tecnologia

Os problemas que estão cada vez mais recorrentes nas pessoas que desfrutam

do uso dos computadores é a falta de segurança, a tecnologia está tomando mais e

mais espaço na vida de cada um. A cada dia o número de ações maliciosas e en-

ganadoras aumenta, sem muitas vezes nos dar-se conta que existem espiões den-

tro de nossos computadores, como Hackers, crackers e outros que estão tentando

ganhar acesso aos nossos dados, utilizando-os em seu proveito e nos causando

problemas. Para aqueles que vão, além disto, pode-se dizer que nossas vidas fa-

zem parte de um Big Brother, sendo verificadas em todos os dias por Hackers, que

desenvolveram vírus que capturam todos os nossos dados (ROHR, 2009).

Conforme ainda o mesmo autor, se de um lado há a ameaça pessoal por falta

de segurança, de outro pode-se conviver com o crescente número de pragas virtu-

ais. Como a cada dia no mundo existem assaltos, assassinatos, roubos e dentro ou-

tros, no mundo virtual não seria diferente, mas com um pouco mais de criatividade.

Ter todos os cuidados, evitando as infecções, será uma ótima escolha. Mas tudo se

pode fazer não é suficiente e sempre há a possibilidade de um desses organismos

virtuais penetrarem em uma máquina, causando problema, pois as tecnologias são

feitas pelos próprios homens, sempre estajam sujeitas às vulnerabilidades, por isso

não existe um sistema 100% confiável.

Hoje, para cada medida de defesa há uma infinidade de ataques que ao menos

nunca ainda nunca se viu ou se tem pouco conhecimento. E tanto é assim que as

empresas dedicadas à segurança estão sempre um passo atrás de quem, do outro

lado, cuida do desenvolvimento deste tipo de ação, seja em relação a vírus ou a ou-

tros programas mal intencionados, a sempre uma mente brilhante trabalhando para

a destruição de informações, procurando sempre uma brecha para entrar (ROHR,

2009).

Page 15: Virus - Monografia

15

1.2 O que é um vírus?

De acordo com o pesquisador Cohen (1983) Vírus é um tipo de programa. Exis-

tem suas diferenças na codificação, mas, no entanto é executado da mesma forma

que um programa comum, a grande diferença está no que o programa faz. O vírus

tem seu código perigoso aos sistemas operacionais, aos drives, programas e docu-

mentos que poderão ser apagados ou danificados.

Um vírus ou praga virtual é um código de máquina que se anexa a um programa

ou arquivo para poder se espalhar entre os computadores da mesma rede, infectan-

do-os à medida que se é executado. Ele infecta enquanto se vai para outros compu-

tadores ou arquivos. Os vírus podem danificar seu software, hardware e arquivos

(MICROSOFT, 2009)¹.

“Vírus, WORMs e cavalos de Tróia são programas mal-intencionados que podem causar danos ao seu computador e às informações armazenadas nele. Também podem deixar a Internet mais lenta e usar o seu computador para espalharem-se entre os seus amigos, familiares, colegas de trabalho e o restante da Web. A boa notícia é que, com prevenção e algum bom senso, você terá menos probabilidade de ser vítima dessas ameaças.” (Microsoft, 2009)1.

De acordo com Orrico (2004, p. 51) os códigos maliciosos são gerados como

executáveis tanto em pendrivers, browsers e nos sistemas operacionais, podem ser

replicados e executados. Depois de executados ficam na memória, procurando to-

das as unidades disponíveis tanto no computador, na rede ou internet para ser repli-

cados e executados pelas possíveis vítimas.

1.2.1 História dos Vírus

Os tradicionais vírus de computador foram amplamente percebidos pela primeira

vez no final da década de 80, e seu surgimento deve-se a vários fatores. O primeiro

fator foi à proliferação dos computadores pessoais. Antes da década de 80 os com-

putadores residenciais praticamente não existiam ou eram simples brinquedos.

Computadores "de fato" eram raros e tinham o seu uso restrito aos "experts". Duran-

te a década de 80 os computadores começaram a se difundir nos escritórios e nas

casas devido à popularidade do IBM PC (lançado em 1982) e do Apple Macintosh

1 MICROSOFT. O que são vírus, worms e cavalos de Tróia?. Disponível em:

<http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso em 2 dez. 2009.

Page 16: Virus - Monografia

16

(lançado em 1984). No final da década de 80, os PCs já estavam bem difundidos

em escritórios, residências e campus universitários (BRAIN, 2009).

Conforme a pesquisa de Cohen (1984) em seu paper “Experiments with Compu-

ter Viruses” onde nesse documento ele relata e também batiza os programas de có-

digos nocivos como “Vírus de Computador”. Neste estudo ele mostra a seguinte

evolução do vírus:

1986 - PC Cyborg Trojan - Também conhecido como “Aids Info

Disk”, foi o primeiro código malicioso com um objetivo financeiro

claro. Ele “seqüestrava” o computador da vítima e impedia o a-

cesso aos arquivos, renomeando-os. Para tê-los de volta, o vírus

pedia que US$ 378 fossem enviados a um endereço no Panamá.

1987 – Surge o primeiro Vírus de Computador escrito por dois ir-

mãos: Basit e Amjad que foi batizado como ‘Brain’, apesar de ser

conhecido também como: Lahore, Brain-a, Pakistani, Pakistani

Brain, e UIU. O Vírus Brain documentado como ‘Vírus de Boot’,

infectava o setor de inicialização do disco rígido, e sua propaga-

ção era através de um disquete que ocupava 3k, quando o boot

ocorria, ele se transferia para o endereço da memória

“0000:7C00h” da BIOS que o automaticamente o executava.

1988 – Surge o primeiro Antivírus, por Denny Yanuar Ramdhani

em Bandung, Indonésia. O primeiro Antivírus a imunizar sistema

contra o vírus Brain, onde ele extrai as entradas do vírus do com-

putador em seguida imunizava o sistema contra outros ataques

da mesma praga

1989 – Aparece o Dark Avenger, o qual vem contaminando rapi-

damente os computadores, mas o estrago é bem lento, permitin-

do que o vírus passe despercebido. A IBM fornece o primeiro an-

tivírus comercial. No início do ano de 1989, apenas 9% das em-

presas pesquisadas tinha um vírus. No final do ano, esse número

veio para 63%.

1990 - A família Chameleon é o começo de uma história de vírus

polimórficos modificava a si mesma, assim que se instala.

Page 17: Virus - Monografia

17

1992 – Michelangelo, o primeiro vírus a aparecer na mídia. É pro-

gramado para sobregravar partes das unidades de disco rígido

criando pastas e arquivos com conteúdos falsos em 6 de março,

dia do nascimento do artista da Renascença. As vendas de soft-

ware antivírus subiram rapidamente.

1994 – Nome do vírus Pathogen, feito na Inglaterra, autor do vírus

chamado Scotland Yard, foi condenado a 18 meses de prisão. É

a primeira vez que o autor de um vírus é processado por dissemi-

nar código destruidor.

1995 – Nome do vírus Concept, o primeiro vírus de macro. Escrito

em linguagem Word Basic da Microsoft, pode ser executado em

qualquer plataforma com Word - PC ou Macintosh. O Concept se

espalha facilmente, pois se replicam através do setor de boot, es-

palhando por todos os arquivos executáveis.

1998 - Back Orifice o primeiro vírus que permitiu que alguém, de

forma remota, controlasse a máquina em que estava instalado.

Uma vez instalado, involuntariamente, em um computador, permi-

te que qualquer usuário de posse do programa BO Client possa

invadir aquela máquina sem o dono saber, enquanto estiver co-

nectado à net e possa fazer qualquer coisa que o dono possa fa-

zer localmente.

1999 – O vírus Chernobyl, apaga o acesso a unidade de disco e

não deixa o usuário ter acesso ao sistema. Seu aparecimento

deu-se em abril. Sua contaminação foi bem pouco nos Estados

Unidos, mas provocou danos difundidos no exterior. A China so-

freu um prejuízo de mais de US$ 291 milhões. Turquia e Coréia

do Sul foram duramente atingidas.

2000 – O vírus LoveLetter, liberado nas Filipinas, varre a Europa

e os Estados Unidos em seis horas. Infecta cerca de 2,5 milhões

a três milhões de máquinas. Causou danos estimados em US$

8,7 bilhões.

Page 18: Virus - Monografia

18

2001 – A “moda” são os códigos nocivos do tipo WORM (prolife-

ram-se por páginas da Internet e principalmente por e-mail). No-

me de um deles é o VBSWORMs Generator, que foi desenvolvido

por um programador argentino de apenas 18 anos.

2003 - Hacker Defender o objetivo era o de Defender o vírus que

já havia contaminado o computador. Ele escondia pastas de ar-

quivo e, de acordo com seu criador, quis mostrar as fragilidades

dos antivírus. Você não pode ver o Hacker Defender rodando a-

través do Gerenciador de Tarefas, tão pouco no registro do Win-

dows. Ele faz isso de tal forma que nem mesmo um firewall pode-

rá identificar a porta em que ele roda.

2005 - Aurora uma tipo de programa espião que monitorava as

propagandas nas páginas de internet vista de um determinado

computador. E ainda tentava tirar os concorrentes. Acabou viran-

do um caso de Justiça e sua criadora foi fechada.

2007 – Houve muitas ocorrências de vírus no Orkut que é capaz

de enviar scraps (recados) automaticamente para todos os conta-

tos da vítima na rede social, além de roubar senhas e contas

bancárias de um micro infectado através da captura de teclas e

cliques. Apesar de que aqueles que receberem o recado preci-

sam clicar em um link para se infectar, a relação de confiança e-

xistente entre os amigos aumenta muito a possibilidade de o usu-

ário clicar sem desconfiar de que o link leva para um WORM. Ao

clicar no link, um arquivo bem pequeno é baixado para o compu-

tador do usuário. Ele se encarrega de baixar e instalar o restante

das partes da praga, que enviará a mensagem para todos os con-

tatos do Orkut. Além de simplesmente se espalhar usando a rede

do Orkut, o vírus também rouba senhas de banco, em outras pa-

lavras, é um clássico Banker.

2008 - Conficker infectou milhões de computadores, inclusive a-

través de pen drives e obrigou a Microsoft a mudar o sistema de

inicialização do Windows. De difícil desativação. O invasor age de

Page 19: Virus - Monografia

19

duas formas. Primeiro, mantém comunicação peer-to-peer (P2P)

entre as máquinas infectadas, que podem enviar e receber co-

mandos. Além disso, geram um estoque de 50 mil nomes de do-

mínio todos os dias. Desses, tenta baixar comandos de 500 des-

ses servidores, escolhidos aleatoriamente.

2009 - Psyb0t explora senhas fracas e em vulnerabilidades exis-

tentes em firmwares desatualizados para infectar modems ADSL

e roteadores. É a mais nova praga na praça.

1.2.2 Tipos de vírus

As dificuldades que quase todos os usuários têm é diferenciar um vírus de

computador por outros, que com certeza é pela falta de conhecimento de como

classificar essas variações de programas maliciosos que geram grandes confusões

que andam ocorrendo em muitos destes casos (ULBRICH; DELLA VALLE, 2005).

Como se sabe que existe uma grande variedade de pragas virtuais (pode-se

chama-lo de praga, pois depois da contaminação o computador dificilmente se tor-

nar o mesmo, devido a modificações dos ficheiros, e a dificuldade de restauração

dos ficheiros). A definição do que a praga é ou não é depende de suas ações e for-

mas de contaminação e proliferação. Mesmo havendo essa diferenciação, é comum

dar o nome dos programas maliciosos ou vírus ser generalizados todos os tipos de

pragas (ULBRICH; DELLA VALLE, 2005).

1.2.3 Estatísticas de vírus

Segundo Ulbrich e Della Valle (2005, p.19) a figura abaixo mostra o cresci-

mento dos últimos anos, devido os Hackers não buscam mais a fama e destruição,

mas sim agora eles buscam a riqueza encontrada nos bits como exemplo as senhas

de banco, email, sistemas e as informações confidenciais.

Page 20: Virus - Monografia

20

Figura 1 Novas assisnaturas de códigos maliciosos Fonte: Symantec Corporation, 2009

Segundo a F-Secure (2009), os Malwares como são chamados os vírus de

computadores, se espalham no globo conforme abaixo, as cores mais fortes são os

países que contem mais contaminações de vírus de computador.

Figura 2 Infecções no mundo Fonte: F-Secure, 2009

Page 21: Virus - Monografia

21

1.2.4 Vírus a ser estudado

No capítulo 3 do Malware (vírus de computador) mais famoso do mundo que in-

fectou mais de 15 milhões de computadores (a maior infecção de todos os tempos),

este Malware já infiltrou no governo americano, nas redes públicas, nas redes críti-

cas como os controladores de vôo da frança e em milhões de computadores pesso-

ais. Com estes efeitos desastrosos foi feito um lance pela Microsoft de 250.000 dó-

lares por informações que levem à prisão e condenação dos responsáveis por lan-

çar ilegalmente o código malicioso do vírus Conficker na Internet para quem o de-

nunciasse, sendo estimado que já realizasse um prejuízo de mais de 9,1 bilhões,

com isso pode-se apresentar seus métodos de contaminação, suas ações, como o

vírus toma o controle do computador, o que é capaz de fazer, suas variações e co-

mo se proteger. O vírus a ser estudo será o Conficker intitulado como WORM (é um

software auto-replicante, parecido a um vírus, o WORM é um software completo e

não precisa de outro software para se propagar) de computador que pode infectar

seu computador e se espalhar para outros computadores na rede automaticamente,

sem interação humana (JAHANKHANI; HESSAMI; HSU, 2009 p. 194).

Para Framingham (2009) Conficker é tão interessante que foi programado para

se ativar em um dia, para começar a se comunicar com seu criador que será no dia

1 de abril, para se ter uma noção do tanto que é difícil descobrir seu criador, o Con-

ficker gera em torno de cinqüenta mil domínios aleatórios sendo que alguns é o ver-

dadeiro domínio que ele se comunicado recebendo os comandos do seu criador e

assim fazendo seus ataques e baixando mais vírus para os computadores, sendo

assim com essa grande variedade de domínios as grandes operadoras de internet

do mundo fica quase impossível rastrearem sua comunicação e mais interessante é

que muitos continuaram sendo infectados se não fizerem suas atualizações do Win-

dows Update, para muitos fazerem estas atualizações necessita de ter o software

original, que no caso do Brasil a uma grande escala de software pirata e não são

originais.

Page 22: Virus - Monografia

22

2 O CONFICKER

O Conficker tem Implacavelmente infectado quase todos os Windows XP e Win-

dows 2000 devido à maioria dos Windows não atualizarem devido ao alto grau de

pirataria. A praga já se disseminou para mais de 15 milhões de máquinas pelo mun-

do, já que este número avassalador é bem convervador sendo estes espalhados por

206 países. O Conficker variante A infectou 4.7 milhões de endereços de IP, e o va-

riante B afetou 6.7 milhões de endereço de IP. Veja no apêndice o nível de contami-

nação de cada País e a contaminação em cada browser (PORRAS, et. al. 2009).

Na análise feita pela SRI Internacional (2008) encontrou-se que os dois WORMs

são comparáveis no tamanho e o tamanho do Conficker A e B são de 1M e 3M

hosts, respectivamente. O número que a mídia anda retratando é bem provável que

esteja certíssima. Meados de 2008 têm se visto Hacker se aproveitarem destas bre-

chas e oferecerem ferramentas que apresentavam a remoção do vírus Conficker

que na verdade era ferramenta para abrirem o computador para ser mais hospedei-

ros de vírus (PORRAS, et. al. 2009).

Os clientes mais adiantados da exploração feita pelo Conficker surgiram em se-

tembro de 2008. Os Hackers chineses foram os primeiros a produzirem um pacote

comercial destas falhas para serem exploradas por apenas $37.80. A façanha em-

pregada é chamada de Remote Procedure Call 2 (RPC) uma técnica que os clientes

têm acesso a máquina infectada, o RPC usa a porta 445/TCP, que pode fazer com

que o Windows 200, XP, 2003 e Vista sejam os hospedeiros ou servidores gerando

um código arbitrário segmentado e sem nenhuma autenticação. A exploração da fa-

2 RPC é uma tecnologia popular para programar-la do modelo cliente-servidor de computação distribuída. Uma chamada

de procedimento remoto é iniciada pelo cliente enviando uma mensagem para um servidor remoto para executar um pro-

cedimento específico. Uma resposta é retornada ao cliente.

Page 23: Virus - Monografia

23

lha pode afetar sistemas como firewalls ativados, que operam com impressões e

compartilhamento de arquivo na rede. O patch, foi liberado pela Microsoft em 23 de

outubro. Não obstante, quase um mês mais tarde, no meado de Novembro, o Con-

ficker utiliza esta mesma falha corrigida pela Microsoft para fazer uma varredura no

mundo inteiro e contaminar milhões de computadores (PORRAS, et. al. 2009).

Ao perguntar-se se o Conficker tem sido capaz de se proliferar de forma tão ex-

tensa? É interessante observar que é por falta dos utilizadores do Windows para a-

tualizar o patch (MS08-067) disponíveis pela Microsoft no Windows Upadate e ter as

melhores seguranças, e mesmo sim o usuário o deixa . A maioria dos usuários igno-

ram as atualizações de segurança disponibilizado pela Microsoft, alguns alegam que

o sistema se torna mais lerdo após a atualização. Porém a grande contaminação

nos computadores é devido a países de baixa renda e grande quantidade de pirata-

ria, a maioria dos sistemas operacionais no caso Windows é pirateado, conseqüen-

temente não oferecem a opção de atualização (PORRAS, et. al. 2009).

2.1 Caracteristicas

Até o momento, pesquisadores de segurança descobriram as seguintes varian-

tes do WORM em estado original. (PORRAS, et. al. 2009).

a) Win32/Conficker.Win32/Conficker.A foi relatado à Microsoft em

21 de novembro de 2008.

b) Win32/Conficker.B Win32/Conficker.B foi relatado à Microsoft em

29 de dezembro de 2008.

c) Win32/Conficker.C Win32/Conficker.C foi relatado à Microsoft em

20 de fevereiro de 2009.

d) Win32/Conficker.D Win32/Conficker.D foi relatado à Microsoft em

4 de março de 2009.

e) Win32/Conficker.E Win32/Conficker.E foi relatado à Microsoft em

8 de abril de 2009.

As suas principais propagações são através da Internet, da rede interna e tam-

bém dos USB. Hoje atualmente sua maior propagação está sendo pelos USB, devi-

Page 24: Virus - Monografia

24

do a grandes operadoras terem bloqueados seus domínios de propagação e pela

facilidade da mobilidade que o USB traz no seu manuseio de computador para

computador. Já se sabe que o Conficker pode gerá até 50.000 domínios aleatórios e

um deste poderá ser o hospederos de suas ações (PORRAS, et. al. 2009).

Primeiramente a sua cotaminação se da por pen-driver. Quando colocado o pen

driver que tem seu autorun contaminado pelo Conficker como a imagem abaixo, os

usuários estão sujeitos a sua contaminação se os usuários não estão com as atuali-

zações em dia com o Windows Update ou também se o seu antivírus não estiver

com as atualizações em dia (CAIS, 2009).

Figura 3 Abrindo arquivos no USB

Fonte: arquivo/Marcos Vinicius/2009

Como pode-se ver na figura acima esta tela sempre aparece quando colocamos

o nosso pen driver no computador ou notebook, caso o autorun esteja infectado.

Page 25: Virus - Monografia

25

Atuação do vírus Conficker.

Figura 4 Generalização do Conficker

Fonte: http://www.microsoft.com/library/media/1046/brasil/protect/images/viruses/diagram.jpg

Observando que o computador com o Win32/Conficker acima, na figura 4 está

contaminado com o vírus, ele manda para a rede e os computadores que estão com

pontos de interrogações e os X mostram que estão desprotegidos, estes emblemas

significam que estão com Windows Update, Antivírus e Firewall desabilitados. Mas

já o computador com o V a chave e a bandeira bloqueia os ataques vindos através

dos computadores infectados. E como pode-se ver para finalizar o pen-driver não

tem nenhuma forma de proteção contra os vírus, então é facilmente infectado e por

assim em diante, poderá dependendo da proteção da máquina infectar e passar a-

diante o código malicioso (MICROSOFT, 2009)3.

3 MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em:

<http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>. Acesso em 2 dez. 2009.

Page 26: Virus - Monografia

26

2.1.1 Diretórios

Conforme os dados do Cais (2009), o Conficker tem a capaticadade de se mo-

ver para os seguintes diretórios do sistema operacional:

%Sysdir%\[Random].dll

%Program Files%\Internet Explorer\[Random].dll

%Program Files%\Movie Maker\[Random].dll

%Program Files%\Windows Media Player\[Random].dll

%Program Files%\Windows NT\[Random].dll

%System%\<random filename>.dll

%Documents and Settings%\<username>\Application Data\<random filename>.dll

%Temp%\<random filename>.dll

Exemplo de uma DLL no sistema operacional Windows XP:

Figura 5 Procura DLL

Fonte: arquivo/Marcos Vinicius/2009

Page 27: Virus - Monografia

27

Segundo Gudgion (2009, p.10) em todos os sistemas operacionas Windows à

pasta %System%, %Program Files%, %Documents and Settings% e %Temp%. As

diferenças que o Conficker faz estão abaixo:

Windows 2000 e NT is C:\Winnt\System32

Windows 95, 98 e ME is C:\Windows\System

Windows XP e Vista is C:\Windows\System32.

2.1.2 Contaminação do registro

Logo após salvar seu arquivo aleatório o Conficker executa o arquivo que está

localizado na pasta do sistema. Exemplo: % System% \ svchost.exe-k netsvcs

(GUDGION, 2009).

O Malware adiciona a seguinte entrada Registro:

HKLM \ SYSTEM \ CurrentControlSet \ Services \ filename <aleatórios> \ Parameters \

ServiceDll = "% System% \ filename <aleatórios>"

Page 28: Virus - Monografia

28

Como na figura abaixo, consta-se como é sua atuação de forma suscinta.

Figura 6 Contaminação de registro

Fonte: http://www.ca.com/us/securityadvisor/virusinfo/showimage.aspx?caid=77976&name=confickerc

_newservice.gif

Page 29: Virus - Monografia

29

Na figura 7, o Conficker criou um nome de DLL aleatório, para usá-lo como bibliotecas do Windows para sua atuação (CAIS, 2009).

Figura 7 svchost.exe

Fonte: www.raymond.cc/images/what-is-svchost.png

O serviço svchost.exe (Generic Host Process for Win32 Services) que aparece

acima, foi criado junto com o Windows 2000, é um serviço do sistema operacional

que prove para o computador acesso a internet, nele estão às configurações do

Page 30: Virus - Monografia

30

DNS. Por isso o Conficker o usa para poder se espalhar através das redes (MI-

CROSOFT, 2009)4.

O ochabwkj.dll é um nome aleatório como disse acima que o Conficker o usa

para a contaminação das bibliotecas do Windows.

2.1.3 Infecção USB

Segundo Gudgion (2009, p.21) nas mídias removíveis o Malware salva uma có-

pia sua de forma oculta dentro da unidade, aonde se encontra a pasta RECYLER.

Um exemplo: “G:\RECYCLER\S-5-3-42-2819952290-82S7834874384383488-

898342759328749437992375\JWGKVSQ.VMX”.

Um exemplo de uma imagem de um pen-driver infectado:

Figura 8 Autorun.inf infectado

Fonte: arquivo/Autor/2009

4 MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edition. Disponível em:

<http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2 dez. 2009.

Page 31: Virus - Monografia

31

Como pode-se analisar na figura acima, o autorun tem um tamanho de 58kb

muito desproporcional ao tamanho real dos autoruns que não estão infectados que

geralmente são normalmente do tamanho de 10kb (GUDGION, 2009).

Figura 9 Arquivo jwgkvsq.vmx

Fonte: http://www.kill.com.cn/vir/ruchong/middle/images/pic00qt26g4.gif

Para visualizar o arquivo oculto vá em Tools>Folder Options>View>Show hid-

den, folders, and drivers. Caso queira apagar o virus apenas clique sobre o virus e

aperte Shift + Del.

2.1.4 Infecção via internet

Após o computador ter o WORM na máquina, o Malware usa as seguintes vari-

áveis para se propagar (GUDGION, 2009).

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ Para-

meters \ "ServiceDll" = "Caminho para WORM"

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ (random) \ "Im-

agePath" =% SystemRoot% \ system32 \ svchost.exe-k netsvcs

Page 32: Virus - Monografia

32

Após a alteração no registro, o vírus altera as permissões da chave de registro,

tirando a permissão do Administrador e deixando apenas as permissões especiais

para o SYSTEM, como na imagem abaixo (GUDGION, 2009).

Figura 10 Permissão da chave de registro

Fonte: arquivo/Autor/2009

As últimas variantes do Conficker são conhecidas por gerar cinqüenta mil nomes

de domínios, usando seu próprio algoritmo. Abaixo você poderá ver a imagem do

seu código fonte (PORRAS, et. al. 2009).

Page 33: Virus - Monografia

33

Figura 11 Código de geração de domínio

Fonte: SRI INTERNACIONAL

Este código tem a possibilidade de gerar 116 domínios diferentes, como exem-

plo de: com.uy, com.ua, com.tw, com.tt, com.tr, com.sv, com.py, com.pt, com.pr,

com.pe, com.br entre outros (PORRAS, et. al. 2009).

Tentativas de conexões para os seguintes sites para obter o endereço IP público

do computador afetado (PORRAS, et. al. 2009).

hxxp: / www.getmyip.org /

hxxp: / getmyip.co.uk /

hxxp: / checkip.dyndns.org /

hxxp: / whatsmyipaddress.com /

Tenta baixar um arquivo Malware a partir do site.

hxxp: / / trafficconverter.biz / [virus]. exe

Inicia um servidor HTTP em uma porta aleatória na máquina infectada para

hospedar uma cópia do WORM.

Continuamente verifica a sub-rede do hospedeiro infectado por máquinas vulne-

ráveis e executa o exploit. Se a exploração for bem sucedida, o computador remoto,

então, liga novamente para o servidor HTTP e baixar uma cópia do WORM (POR-

RAS, et. al. 2009).

Page 34: Virus - Monografia

34

2.1.5 Sintomas da infecção da rede

1. Volume de tráfego de rede aumenta se houver PCs infectados na rede, por-

que ataque à rede começa a partir desses computadores infectados.

Exemplo de um aumento de tráfego na rede (CAIS, 2009).

Figura 22 Aumento de trafego

Fonte: arquivo/Autor/2009

2. É impossível acessar sites da maioria das empresas do anti-vírus, por exem-

plo, avira, avast, eSafe, DrWeb, ESET NOD32, F-Secure, Panda, Kaspersky, Micro-

soft (GUDGION, 2009).

Page 35: Virus - Monografia

35

Figura 33 Acessando sites bloqueados pelo Conficker

Fonte: arquivo/Autor/2009

3. Uma tentativa de ativar os varios tipos de antivírus e depois tentar atualizá-lo,

os computador infectado com o Net-WORM.Win32.Kido WORM de rede pode resul-

tar no encerramento anormal e dar um dos seguintes erros:

Processo de Ativação concluída com erro de sistema

Nome do servidor não pode ser resolvido.

Page 36: Virus - Monografia

36

Não é possível conectar ao servidor.

Segundo Gudgion (2009, p.21) exemplo de uma contaminação na máquina a-

onde o vírus bloqueia qualquer conexão vindo de programas de segurança:

Figura 44 Bloqueio da conexão do Kaspersky

Fonte: arquivo/Autor/2009

A seguir a lista de algumas palavras e websites bloqueados pelos Conficker

(PORRAS, et. al. 2009):

Windowsupdate, wilderssecurity, emsisoft, pctools, hacksoft, comodo, avira, a-

vast, esafe, drweb, grisoft, nod32, kaspersky, f'secure, panda, sophos, trendmicro,

mcafee, norton, symantec, Microsoft, Defender, rootkit, Malware, spyware e vírus.

O Conficker também desabilita vários serviços do sistema operacional Windows.

Abaixo veja os bloqueios que o Conficker faz (GUDGION, 2009).

wscsvc - Security Center

Page 37: Virus - Monografia

37

wuauserv - Automatic updates

BITS - Background Intelligent Transfer Service

WinDefend - Windows Defender

ERSvc - Error Reporting Service

WerSvc - Windows Error Reporting Service

Exemplo da atuação do Conficker bloqueando os serviços:

Figura 55 Serviços desabilitados pelo Conficker

Fonte: arquivo/Autor/2009

Acima visualiza-se as Atualizações Automáticas, relatório de erros, gerenciando

de download e a central de segurança sendo desabilitados quando entra-se nessa

opção pode-se ver claramento a desabilitação (GUDGION, 2009).

Page 38: Virus - Monografia

38

Figura 66 Atualização Automática

Fonte: arquivo/Autor/2009

Abrindo a opção Windows Defender ele nos motra que foi desativado também

como na imagem abaixo (GUDGION, 2009).

Page 39: Virus - Monografia

39

Figura 177 Desabilitando o Windows Defender

Fonte: arquivo/Autor/2009

O WORM desabilita toda a central de segunraça do Windows. (GUDGION,

2009).

A Central de Segurança do Windows pode ajudar a aumentar a segurança de seu computador inspecionando o status de vários componentes funda-mentais da segurança do computador, inclusive configurações de firewall, atualizações automáticas do Windows e configurações de software antimal-ware, de segurança da Internet e do Controle de Conta de Usuário Se o Windows detectar um problema em um destes componentes fundamentais da segurança (por exemplo, se o programa antivírus estiver obsoleto), a Central de Segurança exibe uma notificação e coloca um ícone Imagem do escudo vermelho da Central de Segurança da Central de Segurança na área de notificação. Clique a notificação ou clique duas vezes no ícone da Central de Segurança para abrir a Central de Segurança e obter informações sobre como reparar o problema. (MICROSOFT, 2009)5.

5 MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: <http://technet.microsoft.com/pt-

br/library/cc721871%28WS.10%29.aspx>. Acesso em 2 dez. 2009.

Page 40: Virus - Monografia

40

Veja esta desabilitação feita pelo Conficker da central de segurança:

Figura 18 Central de segurança desabilitado pelo Conficker

Fonte: arquivo/Autor/2009

2.1.6 Ativação do agendador de tarefas

Segundo a Microsoft (2009), o agendador de tarefas tem as seguintes funciona-

lidades:

O snap-in MMC do Agendador de Tarefas permite que você agende tarefas automatizadas que realizem ações em um horário específico ou quando um determinado evento ocorrer. Ele mantém uma biblioteca de todas as tarefas agendadas, fornecendo um modo de exibição organizado das tarefas e um ponto de acesso conveniente para gerenciá-las. Da biblioteca, você pode executar, desabilitar, modificar e excluir tarefas. A interface do usuário (IU) do Agendador de Tarefas é um snap-in MMC que substitui a extensão do Explorer das Tarefas Agendadas no Windows XP, Windows Server 2003 e Windows 2000. Para obter mais informações sobre como iniciar ou acessar a IU do Agendador de Tarefas. (MICROSOFT, 2009)6.

Depois de comprometer uma máquina remotamente, Win32/Conficker.B cria

uma agenda de trabalho remoto com o comando "rundll32.exe <nome do arquivo

6 MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-

BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.

Page 41: Virus - Monografia

41

Malware>. Dll, <parâmetros Malware>" para ativar a cópia, como mostrado na figura

19 (PORRAS, et. al. 2009).

Figura 19 Tarefa agendada pelo Conficker

Fonte: arquivo/Autor/2009

Abrindo uma tarefa agendada e quando observardo, o vírus usa a DLL run-

dll32.exe. O Rundll32.exe permite que DLL's sejam executados como executáveis

pelo sistema. Uma DLL é uma "Biblioteca" ou "extensão de arquivo ou arquivos",

com instruções para execução de uma determinada tarefa. Uma DLL pode ser usa-

da por um ou mais programas, pois pode conter instruções em comum para mais de

um programa ou arquivo. O Rundll32.exe geralmente vem desabilitado no sistema,

mas um aplicativo pode ativá-lo para rodar alguma DLL (próprio do programa, de

outro programa ou do sistema), como se fosse executável (PORRAS, et. al. 2009).

Page 42: Virus - Monografia

42

Figura 20 Abrindo uma tarefa agendada pelo vírus

Fonte: arquivo/Autor/2009

2.1.7 Infecção via P2P

Variantes mais recentes descobertas em março de 2009 incluía uma capacidade

de P2P. Esta capacidade permite Conficker possa se comunicar com outras máqui-

nas infectadas Windows (GUDGION, 2009).

Para facilitar a capacidade de P2P, a necessidade criar vários segmentos que

entrará em contato com máquinas de pares via portas UDP e TCP. Em seguida, ele

ouve em duas portas TCP e UDP e modifica a configuração do Windows Firewall

para que conexão de entrada nessas portas TCP e UDP seja permitida. Essas por-

tas abertas receberão mensagens P2P a partir de máquinas (GUDGION, 2009).

Page 43: Virus - Monografia

43

As mensagens P2P são criptografadas e contém um código de mensagem que

identifica qual é o conteúdo das mensagens P2P. Um dos tipos de cargas transpor-

tadas por estas mensagens P2P pode ser um código executável que será executado

na máquina do peer que recebeu a mensagem de P2P. (GUDGION, 2009).

O seguinte Registro entradas é criado pela rotina P2P para armazenar seu es-

tado interno (GUDGION, 2009).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows HKEY_LOCAL_MACHINE \

SOFTWARE \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-

%d}\%string% \ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%

HKEY_CURRENT_USER\Software\Microsoft\Windows HKEY_CURRENT_USER \

Software \ Microsoft \ Windows \CurrentVersion\Explorer\{%d-%d-%d-%d-%d}\%string%

\ CurrentVersion \ Explorer \ (% d-% d-% d-% d% d) \% texto%

Para que o Conficker possa se propagar na rede de computadores por P2P, ele

lança uma regra de exceção na configuração do Firewall do Windows para que as

portas TCP e UDP utilizadas pelo código malicioso como na imagem abaixo (GUD-

GION, 2009).

Figura 81 Infecção via rede P2P

Fonte: http://www.iss.net/Display/images/xforce/conficker.gif

Page 44: Virus - Monografia

44

2.2 Remoção e prevenção

O Windows vem com a opção de todo os discos removíveis serem encontrados

e auto-executados, e é ai que se encontra a brecha. A princípio deve-se remover

todas as nossas infecções encontradas nos pen-driver e bloquear as entradas dos

discos removíeis. Quando você insere uma unidade de flash USB que está infecta-

do, abre o autorun "padrão" e uma janela aparece. Se você clicar na opção padrão

para "Abrir pasta para exibir arquivos", o sistema torna-se infectado, juntamente com

todos os outros computadores em sua rede local (CAIS, 2009).

A janela de autorun que aparece contém uma pasta "falsa Abrir para visualizar

arquivos de entrada" que executa o vírus ao invés de abrir uma pasta para exibir

seus arquivos. Se você clicar nesta opção autorun falso, o vírus é executado de

forma livre e sem restrições. Conficker então cade vez mais se transformando em

diferentes padrões para evitar a detecção de antivírus para infectar todo o seu

mquina e a rede local. Porque ele se transforma seu código de forma aleatória, tra-

dicionalmente a detecção baseada em assinaturas que atualmente utiliza software

antivírus faz a detecção quase impossível. Quando você conecta um drive USB ex-

terno, Conficker usa uma engenharia social "truque para enganá-lo em execução o

vírus e infectar o computador. Basicamente, Conficker modifica a maneira como o

Windows "autorun" funciona quando você conecta um drive USB externo. As duas

telas abaixo mostram como a janela do autorun quando você conectar um dispositi-

vo USB (GUDGION, 2009).

Page 45: Virus - Monografia

45

Figura 92 Abertura de arquivo duplicado

Fonte: arquivo/Autor/2009

Page 46: Virus - Monografia

46

Figura 23 Abrir pasta certa

Fonte: arquivo/Autor/2009

Nas duas figuras acima, a duas opções de abertura de arquivo, a primeiro é a

que contém vírus e a seguranda que mostra a ceta vermelha é a padrão do Win-

dows que não contém o Malware.

Então para evitar a contaminação do Conficker através da execução do USB

deve-se clicar sempre em usar o Windows Explorer, desabilitar a execução automá-

tica do USB e passar um antivírus antes de abrir um dispositivo USB (SCHMIDT,

2005).

Instrução para desabilitar execução automática do USB:

Clique em Iniciar e em Executar.

Na caixa Abrir, digite regedit e clique em OK.

Localize e clique na seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

No painel à direita, clique duas vezes em Start.

Page 47: Virus - Monografia

47

Na caixa Dados de valor, digite 4, clique em Hexadecimal (se não estiver sele-

cionado) e em OK.

Feche o Editor do Registro.

Exemplo visual da execução:

Figura 24 Alteração de registro de USB

Fonte: arquivo/Autor/2009

Exemplo de scan com o Antivirus McAfee no pendriver, detectando o vírus Con-

ficker:

Figura 25 Antivírus detectando Conficker

Fonte: arquivo/Autor/2009

Page 48: Virus - Monografia

48

2.2.1 Atualização Crítica

Em 23 de outubro de 2008 a Microsoft publica sua falha indentificada como

MS08-067 que tem por objetivo corrigir falhar aonde vírus venham controlar os com-

putadores remotamem sem o consentimento do usuário, veja abaixo uma nota ex-

plicativa (MICROSOFT, 2009).

Esta atualização de segurança resolve uma vulnerabilidade reportada em particular no serviço do servidor. A vulnerabilidade pode permitir execução remota de código se um usuário receber uma solicitação de RPC especial-mente criada em um sistema afetado. Nos sistemas Microsoft Windows 2000, Windows XP e Windows Server 2003, um invasor pode explorar esta vulnerabilidade sem autenticação para executar código arbitrário. É possível que esta vulnerabilidade seja usada na criação de uma exploração por WORM. As práticas recomendadas de firewall e as configurações de firewall padrão podem ajudar a proteger recursos de rede contra ataques com ori-gem externa ao perímetro da empresa.Esta atualização de segurança é classificada como Crítica para todas as edições com suporte do Microsoft Windows 2000, Windows XP, Windows Server 2003 e como Importante para todas as edições com suporte do Windows Vista, Windows Server 2008. Pa-ra obter mais informação, consulte a subseção Software afetado e não afe-tado nesta seção. A atualização de segurança elimina a vulnerabilidade, cor-rigindo a maneira como o serviço Servidor manipula solicitações de RPC. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes relacionada à entrada da vulnerabilidade específica presente na próxima seção, Informações sobre a vulnerabilidade (MICRO-SOFT, 2009)7.

7 MICROSOFT. Windows Update. Disponível em:

<http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/windowsupdate.mspx>. Acesso em 9

ago. 2009.

Page 49: Virus - Monografia

49

Atualização do Windows conforme as imagens abaixo:

Figura 26 Windows Update

Fonte: arquivo/Autor/2009

Page 50: Virus - Monografia

50

Outra opção é acessar o Windows Update no Windows XP, utilizando o menu i-

niciar clássico.

Figura 27 Windows Update diferente

Fonte: arquivo/Autor/2009

3.3.2 Atualizando o Antivírus

A primeira coisa que se deve esclarecer é a importância de sempre estar o anti-

vírus atualizado em seu computador. Todos os dias aparecem vários vírus novos e

todos os dias são desenvolvidos as curas para esses vírus. Muitos programas fazem

isso automaticamente, o que é bom para a segurança, mas podem deixar seu com-

putador ou a conexão com a internet mais lenta. Quando você deixa de atualizar seu

antivírus, você pode correr vários perigos de infecção no seu computador. Os me-

lhores antivírus atualizam seu banco de dados de Malware de 6hrs em 6hrs, fazen-

do com que você esteja menos sujeitos as pragas encontradas no mundo virtual

(MÁRLEO, 2009).

Um exemplo abaixo das atualizações dos principais antivírus.

Page 51: Virus - Monografia

51

Abrindo o Avast, clique em Ferramentas>atualização>Atualização do Banco de

dados de vírus:

Figura 28 Avast

Fonte: arquivo/Autor/2009

No AVG, para atualizar, clique com o botão direito sobre o ícone da área de noti-

ficação perto do relógio do Windows.

Figura 29 AVG

Fonte: arquivo/Autor/2009

Para fazer a atualização do Avira pode ser feita na própria tela do programa, se-

lecionado a opção "Start update".

Page 52: Virus - Monografia

52

Figura 30 AVIRA

Fonte: arquivo/Autor/2009

Para Atualizar o Kaspersky clique diretamente sobre o ícone do programa na á-

rea de notificação perto do relógio do Windows:

Page 53: Virus - Monografia

53

Figura 101 Kasperky

Fonte: arquivo/Autor/2009

Page 54: Virus - Monografia

54

Para atualizar o NOD32, clique em Update e logo após clique em Update vírus

signature database:

Figura 32 NOD32 Fonte: arquivo/Autor/2009

2.2.2 Firewall

Agora pode-se entender porque deve-se ter na nossa rede um firewall ou na

nossa máquina instalada:

Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e con-ceitos de segurança eficientes. O firewall é uma opção praticamente impres-cindível. Firewall pode ser definido como uma barreira de proteção, que con-trola o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewal-ls baseados na combinação de hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso doméstico e também é o mais comum. Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo necessário instalá-lo em cada máquina conectada (INFORWESTER, 2009).

De acordo com Cais (2009), os especialistas de segurança descobriram como

detectar o Conficker na rede, e abaixo está como deve-se agir:

Page 55: Virus - Monografia

55

Caso você seja administrador de rede, é possível identificar máquinas infec-

tadas pelo Conficker através dos seguintes procedimentos:

Atente para o aumento anormal do tráfego de rede em conexões HTTP

(80/TCP), pois o Conficker utiliza este tipo de conexão para receber instruções;

Redes locais com compartilhamento de diretórios provavelmente estarão

mais lentas, dada a ação do Conficker na rede local;

Configure em seu firewall ou Proxy regras que registrem o acesso a URLs

acessadas pelo Conficker. Listas atualizadas constantemente com as URLs que

o Malware tem acessado estão disponíveis em:

http://cert.lexsi.com/weblog/index.php/2009/02/06/276-noms-de-domaine-de-

Conficker-downadup-a-et-b

Configure em seu firewall ou Proxy regras que registrem as seguintes requisi-

ções HTTP, muito provavelmente realizadas pelo Conficker CAIS (2009).

GET http://[IP]/search?q=0 HTTP/1.0"

GET http://[IP]/search?q=1 HTTP/1.0"

GET http://[IP]/search?q=n+1 HTTP/1.0"

Agora pode se ver de forma visual como analisar e bloquear o Conficker.

Neste processo utilizo o NOD32. CAIS (2009).

Page 56: Virus - Monografia

56

Aumento do trafego na rede:

Figura 33 Aumento de trafego na rede

Fonte: arquivo/Autor/2009

Observa-se que de forma desproporcional o aumento do trafego na figura 33,

tem a possibilidade de infecção.

Page 57: Virus - Monografia

57

Bloqueando os sites que o Conficker se conecta:

Figura 114 Inserir sites bloqueados

Fonte: arquivo/Autor/2009

Devemos também colocar regras no firewall para bloquear o Conficker veja

CAIS (2009).

Page 58: Virus - Monografia

58

Figura 125 Regras para bloquear o Conficker

Fonte: arquivo/Autor/2009

2.2.3 Administradores de rede

Conforme a InfoHelp (2009), a melhor ferramenta open source de scanea-

mento de porta é o Nmap, veja sua definição e uso:

O Nmap é um portscan de uso geral, que pode ser usado, sempre que você

precisar verificar rapidamente as portas abertas em determinado host, seja na

sua rede local, seja na Internet (INFOHELP, 2009).

O Nmap é um pacote muito utilizado e por isso está disponível em todas as

principais distribuições. Você pode instalá-lo usando o yast (SuSE), yum (Fedo-

ra), urpmi (Mandriva), ou outro gerenciador de pacotes disponível (INFOHELP,

2009).

Para o usuário comum é difícil usar esta ferramenta na rede, pois necessita

da instalação de um sistema livre na máquina e a instalar do software via apt get

no terminal (INFOHELP, 2009).

Page 59: Virus - Monografia

59

Após instalar o Nmap utilize esta linha de comando (INFOHELP, 2009).

nmap -PN -T4 -p139,445 -n -v –“script” smb-check-vulns,smb-os-discovery –

“script”-args unsafe=1 ip_do_pc

Se o computador estiver infectado, ele mostrará a seguinte mensagem:

Conficker: Likely INFECTED

Se não estiver infectado, mostrará a seguinte mensagem:

Conficker: Likely CLEAN

Veja a imagem abaixo, mostra que o vírus aplicou o seu próprio patch ->

MS08-067: PATCHED ( possibly by Conficker) (INFOHELP, 2009).

Figura 136 Infected

Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapinfected.gif

Page 60: Virus - Monografia

60

Conforme a InfoHelp (2009) a imagem abaixo mostra que o Sistema Operacio-

nal não tem a infecção do vírus conficker, mas continua vulnerável devido o patch

da Microsoft MS08-067, não se apresentar instalado.

Figura 37 Vulnerable

Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmapvulnerable.gif

Page 61: Virus - Monografia

61

Quando se faz a atualização do Windows Update é mostrado à imagem seguin-

te -> MS08-067: FIXED e consequentemente é mostrado que o computador está

com o Sistema Operacional limpo do vírus Conficker.

Figura 38 Fixed

Fonte: http://www.infohelp.org/wp-content/uploads/2009/04/nmappatched.gif

Esta maneira é a melhor para os Administradores de rede saberem qual Win-

dows está sem as atualizações críticas que comprometam a segurança do compu-

tador (CAIS, 2009).

2.2.4 Prevenções gerais

Pode-se prevenir das seguintes maneiras, sempre atualizando o sistema ope-

racional, instalando um bom antivírus, anti-Malware, anti-spam, anti-kelogeer, anti-

spyware e colocando um bom firewall. Cuidado antes de iniciar um pendriver, dis-

Page 62: Virus - Monografia

62

quete, memória flash, câmera digital. A princípio não se precisa clicar em nada, o

fato de o computador tentar abri-lo já é possível de contaminação (CERT.BR, 2009).

É recomendado executar o antivírus em todos os discos rígidos, nos pendri-

vers e nos desquites, configurando-o para verificar o Registro Mestre de Boot, que

são os setores dos discos rígidos e também verificando as memórias do computa-

dor. Normalmente o padrão dos antivírus é checar os arquivos com extensões: com,

exe, sys, dll, inf, conf e dentro outros. O antivírus deverá ser utilizado todas as vezes

que um disquete, pendriver ou câmera digital for inserida no computador, eliminado

assim todas as possíveis infecções. Downloads é outra forma de infecção, então os

antivírus atuais têm a checagem de download instantâneo, para que ele seja aberto

no computador, o antivírus vasculhará as possíveis infecções ou códigos maliciosos.

O usuário pode abrir quaisquer e-mails, mais o grande diferencial é que não deve

abrir qualquer arquivo que esteja anexo no e-mail, pois muitos destes e-mails são

phisinng (disfarçado ou também links), que poderão enganar os usuários, muitos

destes e-mails parecem amigáveis, mas se não for de uma pessoa conhecida, ja-

mais abra algo anexado (CERT.BR, 2009).

Page 63: Virus - Monografia

63

CONSIDERAÇÕES FINAIS

Segurança é um assunto vasto, onde não existem soluções universais, mas

sim soluções relativas a um determinado contexto. Ainda estamos longe de termos

uma rede de comunicações absolutamente segura, talvez até nunca venhamos ter,

porque sempre existirão certas vulnerabilidades e pessoas interessadas em criar

novos métodos de ataque.

No entanto podemos através do estudo apresentado finalizar, que a situação

do Conficker em um Sistema Operacional age para desabilitar a central de seguran-

ça, impedindo a atualização de segurança, para a sua propagação nos computado-

res e a internet e por fim comunicar-se com seu criador. É imprescindível que os an-

tivírus estejam com suas atualizações, pois a cada dia mais os vírus estão surgindo

de forma crescente.

É importante também que os usuários de micro computadores usem software

original para atualizações ou uma solução mais avançada usar software livres. Op-

tando por um software livre que no caso Linux ou outros, o Conficker não poderá

atuar de forma eficaz, tirando assim seu objetivo de propagar-se e comunicar-se

com seu criador.

Durante a pesquisa realizada para o desenvolvimento deste trabalho pude

observar a importância sobre a evolução do Vírus Conficker. O profissional de in-

formática precisa conhecer o histórico ou a sua evolução, isto pode ajudá-lo a detec-

tar possíveis infecções nos sistemas, descobrir as diversas maneiras de proliferação

do Conficker e os seus métodos de infecção, assim sendo desenvolverem sistemas

mais eficientes de proteção, sendo nos dias de hoje essencial para usuários domés-

ticos e empresas.

A complexidade do tema acredito ter sido a principal desvantagem encontra-

da durante a realização desta pesquisa. Explicar minuciosamente a propagação e a

atuação do Conficker e a sua forma de remoção e proteção torna-se este trabalho

Page 64: Virus - Monografia

64

marcante, o principal objetivo é mostrar e alertar os profissionais como se procede a

contaminação do vírus Conficker no sistema operacional Windows XP.

Com este presente estudo viso contribuir com novas pesquisas relacionada

na promoção e prevenção de segurança dos Sistemas Operacionais e o bom fun-

cionamento da rede, a partir de informações extraídas desta pesquisa onde descre-

ve a forma de contaminação e remoção do vírus, acredito que ele seja essencial na

produção de um software ou script para detectar e remover o vírus Conficker e até

mesmo a produção de um artefato para analisar o trafego da rede com objetivo de

detectar e bloquear de forma automática a ação do Conficker.

Page 65: Virus - Monografia

65

REFERÊNCIAS BIBLIOGRÁFICAS

BRAIN, Marshall. Como funciona o Vírus de Computador. Disponível em: <http://informatica.hsw.uol.com.br/virus1.htm>. Acesso em 19 ago. 2009.

CAIS. Como identificar e remover o malware Conficker (Downadup ou Kido). Rio de Janeiro, feb. 2009. Rede Nacional de Ensino e Pesquisa. Disponível em: <http://www.rnp.br/cais/alertas/2009/cais-alr-2009-2a.html>. Acesso em 8 ago. 2009.

CERT.BR. Cartilha de segurança para a internet. Disponível em: <http://cartilha.cert.br/>. Acesso em 1 dez 2009

COHEN, Fred. Histórico: a evolução do vírus de computador. Disponível em: <http://www.fisicastronomorais.com/pdf/virusinfor.pdf>. Acesso em 09 ago. 2009.

FRAMINGHAM. Conficker falhou, defendem especialistas. Disponível em: <http://idgnow.uol.com.br/seguranca/2009/04/01/para-especialistas-conficker-falhou/>. Acesso em 8 ago. 2009.

F-SECURE. Mapa mundial da F-Secure. Disponível em: <http://www.f-secure.com.br/security_center/virus_world_map.html>. Acesso em 8 ago. 2009.

GOODMAN. Paul Etal. Techmalogy and organization. 1. ed. Jossy-Bass Publish-ers: San Francisco, 1990. 21 p.

GUDGION, Kevin. Finding W32/Conficker.worm. McAfee Avert Labs. Canada, ago. 2009. Disponível em: <http://download.nai.com/products/mcafee-avert/documents/combating_w32_conficker_worm.pdf>. Acesso em 19 ago. 2009.

INFOHELP. Conficker – Guia definitivo de remoção. Disponível em: <http://www.infohelp.org/thales-laray/conficker-guia-definitivo-de-remocao/>. Acesso em 1 dez 2009.

INFOWESTER. Firewall: conceitos e tipos. Disponível em: <http://www.infowester.com/firewall.php>. Acesso em 8 ago. 2009.

JAHANKHANI, Hamid; HESSAMI, Ali G; HSU, Feng. Global Security, Safety, and Sustainability. Communications in Computer and Information Science. 5. ed. Chennai: Springer, 2009. 194 p. ISSN 1865-0929.

MARCELO, Vicente. Segurança de sistemas, Ênfase em rede de computadores, 2002. Anais. Belo Horizonte: UFMG, 1995. 655 p.

MÁRLEO. As pessoas tem várias dúvidas sobre atualização de antivírus. Neste artigo, várias dessas dúvidas serão sanadas. Disponível em: <http://www.plusgsm.com.br/forums/showthread.php?t=111065>. Acesso em 1 dez 2009.

Page 66: Virus - Monografia

66

MICROSOFT. Boletim de Segurança da Microsoft MS08-067 – Crítica. Disponível em: <http://www.microsoft.com/brasil/technet/security/bulletin/MS08-067.mspx>. A-cesso em 2 dez. 2009.

MICROSOFT. O que são vírus, worms e cavalos de Tróia? Disponível em: <http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx>. Acesso em 2 dez. 2009.

MICROSOFT. Proteja-se contra o worm de computador Conficker. Disponível em: <http://www.microsoft.com/brasil/protect/computer/viruses/worms/conficker.mspx>. Acesso em 2 dez. 2009.

MICROSOFT. Uma descrição do Svchost.exe no Windows XP Professional Edi-tion. Disponível em: <http://support.microsoft.com/kb/314056/pt-br>. Acesso em 2 dez. 2009.

MICROSOFT. Usando a Central de Segurança do Windows. Disponível em: <http://technet.microsoft.com/pt-br/library/cc721871%28WS.10%29.aspx>. Acesso em 2 dez. 2009.

MICROSOFT. Visão geral sobre o Agendador de Tarefas. Disponível em:< http://windows.microsoft.com/pt-BR/windows-vista/Using-Windows-Security-Center>. Acesso em 2 dez. 2009.

MICROSOFT. Windows Update. Disponível em: <http://www.microsoft.com/brasil/windows/products/windowsvista/features/details/windowsupdate.mspx>. Acesso em 9 ago. 2009.

ORRICO, J. H. Pirataria de Software. 1. ed. São Paulo: MM Livros, 2004. (Informá-tica). ISBN 89788590424222.

PORRAS, Phillip; SAIDI, Hassen; YEGNESWARAN, Vinod. SRI International. USA, feb. 2009. Seção An Analysis of Conficker's Logic and Rendezvous Points. Dis-ponível em: <http://mtc.sri.com/Conficker/>. Acesso em 11 ago. 2009.

ROHR, Altieres. Perigos virtuais de todo dia. Disponível em: <http://linoresende.jor.br/perigos-virtuais-de-todo-dia/>. Acesso em 06 ago. 2009.

SCHMIDT, Hannes. How to disable USB sticks and limit access to USB storage devices on Windows systems. Disponível em: <http://diaryproducts.net/about/operating_systems/windows/disable_usb_sticks>. Acesso em 2 dez. 2009.

ULBRICH, Henrique Cesar; DELLA VALLE, James. Universidade H4CK3R, des-vende todos os segredos do submundo dos hackers. 5. ed. São Paulo: Digerati Bo-oks, 2005. 319 p. ISBN 8589535-01-0.