Vírus Professor: Pedro R3 Junior Vírus Vírus Professor: Pedro R3 Junior Conceitos Conceitos Vírus Pequenos segmentos de código com capacidade de se agregar ao código de outros programas. Além do mecanismo de reprodução disparado a cada vez que o programa infectado é executado, eles normalmente possuem uma outra função mais danosa ao sistema que é disparada por um gatilho, isto é, uma situação ou data específica. Worm Similares aos virus, diferenciam-se apenas pelo método de infecção: para se propagarem eles utilizam-se de vulnerabilidade de sistemas para enviar cópias de si mesmos através da rede. ex: LoveLetter, Navidad, Nimda, Blaster Vírus Professor: Pedro R3 Junior 3 Conceitos Trojan (Cavalo de Tróia) Programa que promete fazer algo útil ou “interessante” mas, na realidade, possui um código malicioso capaz de causar danos. Difere de Vírus e Worms por depender dos usuários para o processo de reprodução. Keylogger – trojan para captura de senhas de acesso. Hoax (Boato) São exatamente o que o nome diz: boatos. A intenção é transmitir e causar pânico entre as pessoas novatas, ou que não conhecem detalhes verídicos dos métodos de funcionamento e ataque dos verdadeiros vírus de computador Em algum casos, a intenção é fazer a vítima apagar arquivos importantes de seu sistema. http://www.superdicas.com/infovir/hoax.asp Vírus Professor: Pedro R3 Junior 4 Danos que Causam Corromper programas Apagar dados Apagar arquivos Reformatar discos Consumir recursos Intencionalmente Durante o processo de reprodução CPU Memória Banda de rede Espaço em disco Quebra da Confidencialidade Vírus Professor: Pedro R3 Junior 5 Não Podem Fazer São programas de computador Só podem agir a nível de software Perda de dados Lentidão no sistema Nunca poderão causar estragos ao hardware o micro o winchester os drives o mouse o vídeo o teclado etc. Vírus Professor: Pedro R3 Junior 6 Prevenção Sempre use um programa antivirus Não abrir e-mail de procedência desconhecida No outlook visualisar um e-mail é similar a abrir Na dúvida, nunca execute arquivos desconhecidos Mantenha ele atualizado constantemente Recebidos por e-mail Baixados da INTERNET Nunca “clicar” em links em e-mails “estranhos” Evitar sites “suspeitos” Ter sempre um backup do sistema em local seguro Política de conscientização de usuários Vírus Professor: Pedro R3 Junior 7 Tipos de Virus Segundo o ponto de infecção de Boot de Programas Multipartite de Macro Outras Propriedades Stealth Polimórficos Vírus Professor: Pedro R3 Junior 8 Tipos de Vírus Vírus de BOOT Infectam o registro de inicialização (área de boot) de disquetes e discos rígidos em arquitetura PC e são ativados durante o processo de boot da máquina Independe de sistema operacional, pois a carga do mesmo é feita após isto. São os mais fáceis de detectar, e eliminar. Infecção Esquecer um disquete contaminado dentro do drive A:. Esse disquete não precisa ser do tipo que dá boot, na verdade quando você receber a mensagem que o disco está sem sistema já é tarde demais, seu micro já está contaminado. ex: Michelangelo, Stoned, Disk Killer Vírus Professor: Pedro R3 Junior 9 Tipos de Vírus Vírus de Programas Vírus que infecta arquivos executáveis. Normalmente arquivos .exe ou .com, mas existem vírus para .dll, .ovl, .dvr, .sys, .bin ... Os Vírus de Programa bem escritos contaminam outros arquivos de maneira silenciosa, sem interferirem com a execução dos mesmos. Assim os usuários não vêm nenhum sinal exterior do que está acontecendo em seu micro. Infecção Executar um arquivo contaminado ex: Jerusalem, Cascade, ... Vírus Professor: Pedro R3 Junior 10 Tipos de Vírus Virus Multipartite Misturam características de Virus de Boot e de Programas, podendo se reproduzir das duas formas. São muito mais eficazes nas tarefas de: se espalhar serem detectados e removidos. Infecção Todos os processos já citados nos Vírus de Boot e de Programas. ex: Dead.Boot.488, Pieck.4444.A, ... Vírus Professor: Pedro R3 Junior 11 Tipos de Vírus Vírus de Macro Desenvolvidos na linguagem de programação e customização dos produtos do MS-Office (macros), eles se utilizam da macro AutoOpen para serem executados no momento da abertura do arquivo infectado. São fáceis de serem desenvolvidos e podem ser muito danosos ao usuário, causando perda de dados e de imagem. Infecção Abertura de um arquivo infectado. ex: Concept, Laroux, ... Vírus Professor: Pedro R3 Junior 12 Tipos de Vírus Vírus Stealth Utiliza artifícios de programação de forma a se auto remover, temporariamente, da memória, evitando que os anti-vírus os detectem. Não é um tipo separado, mas uma característica de construção que pode ser usada em quaisquer outros vírus. ex: AntiCNTE Boot, Natas.4988, Bleah, ... Vírus Professor: Pedro R3 Junior 13 Tipos de Vírus Vírus Polimórficos O vírus é desenvolvido de forma a poder alterar seu formato a cada nova reprodução, tornando extremamente difícil sua detecção. Assim como o Stealth, é uma característica de programação do vírus que pode ser usada na construção de quaisquer tipos de vírus. Existem duas formas de polimorfismo: Criptografia do código principal Modificação do código executável Uso de comandos sem função lógica no programa ex: SatanBug, Spanska.4250, W95/HPS, ... Vírus Professor: Pedro R3 Junior 14 Vírus Professor: Pedro R3 Junior Anti-vírus 22/09/08 Pedro R3 Junior 15 Conceitos Definição Programas cujo objetivo é localizar vírus em máquinas ou na passagem de arquivos por pontos chave da rede. Ao achar um vírus, ele pode tentar apagar este vírus, mover o arquivo infectado para uma área de quarentena ou apagar de vez o arquivo Tipos de Busca Por Assinatura Busca Algorítmica Heurístico Checagem de Integridade Vírus Professor: Pedro R3 Junior 16 Tipos de Busca Por Assinatura É o método mais antigo e mais usado até hoje. Procura por pedaços de código que, sabidamente, fazem parte do código de vírus conhecidos. Precisa ter seu arquivo de “assinaturas conhecidas” atualizado freqüentemente. Busca Algorítmica É uma evolução do processo por assinatura, incluindo elementos algorítmicos para reduzir o número de “falsos positivos”. Também depende de um arquivo de assinaturas e é mais lento, pois precisa verificar critérios mais complexos para cada tipo de vírus conhecido. Vírus Professor: Pedro R3 Junior 17 Tipos de Busca Heurístico Utiliza mecanismos de inteligência artificial para avaliar o comportamento de cada programa sendo executado de forma a localizar padrões considerados suspeitos. Como o processo é complexo e a diversidade de programas válidos é muito grande, é muito sujeito a “falsos positivos”. Apresenta uma excelente performance em tempo real. Checagem de Integridade É um método complementar ao processo de busca de vírus executado pelos métodos anteriores. Procura garantir a integridade dos arquivos, através de um registro hash da situação original dos mesmos. ex: Tripwire (unix) Vírus Professor: Pedro R3 Junior 18 Alguns Anti-Vírus AVG AVP eTrust InoculateIT F-Secure Antivirus McAfee VirusScan NAI VirusScan Norton Antivirus Panda Antivirus PC-Cillin Sophos Antivirus Vírus Professor: Pedro R3 Junior - AVG - Kaspersky Lab - Computer Associates - F-Secure - McAfee Security - Network Associates - Symantec - Panda Software - Trend Micro - Sophos AntiVirus 19 Vírus Professor: Pedro R3 Junior Fim Pedro R3 Junior [email protected]