Virus, Worms e SpyWares Eduardo Eros Fabricio Virus Conceito • Em informática, um vírus de computador é um programa malicioso desenvolvido por programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos meios. História • Em 1983, Len Eidelmen demonstrou em um seminário sobre segurança computacional, um programa auto-replicante em um sistema VAX11/750. Este conseguia instalar-se em vários locais do sistema. Um ano depois, na 7th Annual Information Security Conference, o termo vírus de computador foi definido como um programa que infecta outros programas, modificando-os para que seja possível instalar cópias de si mesmo. História • O primeiro vírus para PC nasceu em 1986 e chamava-se Brain, era da classe dos Vírus de Boot, ou seja, danificava o sector de inicialização do disco rígido. A sua forma de propagação era através de um disquete contaminado. Apesar do Brain ser considerado o primeiro vírus conhecido, o título de primeiro código malicioso pertence ao Elk Cloner, escrito por Rich Skrenta. Hitória Numero de virus História Ano Tipos de vírus 1) VÍRUS DE SETOR DE BOOT Ao iniciar o computador, o conteúdo original do setor de boot do HD é movido par outra parte do disco, o virus passa a ocupar aquele espaço e instrui o computador a continuar com sua rotina normal de inicialização. Esse tipo de vírus pode se instalar também na memória, aguardando que mais mídias sejam utilizadas pelo sistema. Tipos de vírus 2) VÍRUS PARASITAS Utilizam arquivos executáveis como hospedeiros, inserindo, logo no início desses arquivos, instruções de desvio para o código do vírus. Após infectar outros arquivos no HD, o vírus retorna o controle para o programa hospedeiro, o qual é executado como se nada de errado estivesse acontecendo. A cada vez que o hospedeiro é executado, há uma nova replicação do vírus. Tipos de vírus 3) VÍRUS CAMUFLADOS São vírus que suprimem as mensagens de erro que normalmente aparecem quando ocorrem tentativas de execução de atividades não autorizadas. Para não serem detectados facilmente pelos antivírus, os vírus camuflados mais sofisticados usam criptografia para dificultar sua identificação. Tipos de vírus 4) VÍRUS POLIMÓRFICOS São ainda mais poderosos, pois são projetados para enganar os softwares anti-vírus, alterando seu tamanho e aparência cada vez que infectam um novo programa. A aparência desses vírus pode ser modificada por sua subdivisão em várias partes ou armazenamento sob a forma criptografada. Já existem programas que podem ser adicionados ou anexados a um vírus para torná-lo polimórfico, habilitandoo a uma mutação a cada reprodução. Tipos de vírus 5) VÍRUS DE MACRO Tecnicamente os arquivos de dados não contem vírus, pois não são executáveis. Porém, com a introdução de macros nos processadores de texto e planilhas, isso deixa de ser verdade. Nas macros (pequenos programas) podem ser inseridos vírus, infectando assim o computador que usar tais documentos/planilhas. Uma vez infectado o aplicativo (template), todos os documentos por ele gerado estarão também infectados (figura a seguir). Tipos de vírus 5) VÍRUS DE MACRO Normal.DOT Macros Texto Texto Macro com Vírus Macro com Vírus Doc1.DOC Doc2.DOC Exemplos • I love U – 1999 – Considerado o mais devastador de todos – 6,7 bilhões de dólares – loveletter.txt – Devido a ocultação dos arquivos do Windows Worms Conceito • Um Worm (verme, em português), em computação, é um programa auto-replicante, semelhante a um vírus. Enquanto um vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o Worm é um programa completo e não precisa de outro para se propagar. Conceito • Um worm pode ser projetado para tomar ações maliciosas após infestar um sistema, além de se auto-replicar, pode deletar arquivos em um sistema ou enviar documentos por email. • A partir disso, o worm pode tornar o computador infectado vulnerável a outros ataques e provocar danos apenas com o tráfego de rede gerado pela sua reprodução Conceito • X • Ele tem a capacidade de viajar sem a ajuda de uma pessoa • Um worm se aproveita de arquivo ou informação recursos de transporte no seu sistema, o que lhe permite viajar sozinho • Consome demasiada memória de sistema (ou rede de banda larga), fazendo com que os servidores Web, servidores de rede e computadores individuais para parar responder História • O primeiro worm que atraiu grande atenção foi o Morris Worm, escrito por Robert T. Morris Jr no Laboratório de Inteligência artificial do MIT. Ele foi iniciado em 2 de novembro de 1988, e rapidamente infectou um grande número de computadores pela Internet. História • Ele se propagou através de uma série de erros no BSD Unix e seus similares. Morris foi condenado a prestar 400 horas de serviços à comunidade e pagar uma multa de US$10.000 Tipos • Esta taxonomia é baseada em diversos fatores: a descoberta de destino, propagação, ativação, cargas, e os atacantes. Tipos • Descoberta de destino – Scanning – Pre-generated Target Lists – Externally Generated Target Lists – Internal Target Lists – Passive Tipos • Propagação – Self-Carried – Second Channel – Embedded Tipos • Ativação – Human Activation – Human Activity-Based Activation – Scheduled Process Activation – Self Activation Tipos • PayLoad / Carga – – – – – – – None/nonfunctional Internet Remote Control Spam-Relays HTML-Proxies Internet DOS Data Collection Access for Sale – – – – – – Data Damage Physical-world Remote Control Physical-world DOS Physical-world Reconnaissance Physical-world Damage Worm Maintenance Tipos • Atacantes – – – – – – – – Experimental Curiosity Internet Remote Control Pride and Power Commercial Advantage Extortion and Criminal Gain Random Protest Political Protest Terrorism – – – – – – – – Cyber Warfare Application Design Buffer Overflows Physical-world DOS Privileges Economic Factors Patch Deployment Monocultures Exemplo • 26 /02/2004 • MyDoom Exemplo • MyDoom infecta mais de um milhão de computadores • Considerado o de mais rápida disseminação da história • Tirou do ar o site da fabricante norteamericana de software SCO (www.sco.com). • A SCO e a Microsoft chegou a oferecer uma recompensa de US$ 500 mil. Exemplo • Taxa de infecção de 40% de todos os e-mails no planeta. • provocou perdas econômicas de US$ 26,1 bilhões, segundo a empresa britânica mi2g. • "esta mensagem contém caracteres Unicode e foi enviada como um anexo binário". • Os anexos possuem extensões .exe, .scr, .cmd ou .pif e vêm compactados em arquivos ZIP. Exemplo • O último "worm" colocado na rede foi no Orkut, chamado "Vírus do Orkut", dissipado na madrugada do dia 25/09/2010 pelo programador Rodrigo Lacerda. O Google, porém, resolveu o problema. Exemplo Exemplo SpyWare Conceito • Spyware consiste num programa automático de computador, que recolhe informações sobre o usuário, sobre os seus costumes na Internet e transmite essa informação a uma entidade externa na Internet, sem o seu conhecimento nem o seu consentimento. Conceito X •Diferem dos cavalos de Tróia por não terem como objetivo que o sistema do usuário seja dominado, seja manipulado, por uma entidade externa, por um cracker. História • Foram identificados por volta dos anos 90. • Em 1999 foi lançado um jogo bobo, que foi febre no período de natal. Elf Bowling. História • Esse jogo na verdade era um programa espião que mandava as informações dos jogadores para os desenvolvedores. Tipos • Adwares – sub-grupo dos spywares – Os adwares são conhecidos por trazerem para a tela do usuário algum tipo de propaganda. – geralmente são firmas comerciais que os desenvolvem – Avanços (ou upgrades) no Internet Explorer Tipos • Ransomware – Criptografam todo ou parte do conteúdo do disco rígido – Os responsáveis pelo software exigem da vítima, um pagamento pelo "resgate" dos dados – São ferramentas para crimes de extorsão e são extremamente ilegais – PC Cyborg Trojan, Gpcode-B e PGPCoder Exemplo • PGPCoder – Cria duas chaves de registro: um para garantir que ele é executado em cada inicialização do sistema, e a segunda para acompanhar a evolução, contando o número de arquivos que tenham sido analisados pelo código malicioso. – Usando uma chave de codificação digital, criptografa todos os arquivos encontrados nos discos de computador com extensões como: Doc,. Html,. Jpg,. Xls,. Zip e. Rar. Exemplo • PGPCoder – Um endereço de e-mail é fornecido – Resgate de US $ 100-200 para uma conta no egold ou Liberty Reserve Como Previnir • Antispywares • Verifique se a peste adicionou uma entrada em Adicionar ou remover programas, o que facilita a sua desinstalação Como Previnir • http://anti-virus-software-review.toptenreviews.com/v2/ • http://info.abril.com.br/professional/seguranca/os-10-piores-virusda-historia.shtml • http://www.antivirusware.com/articles/viruses-trojans-wormsspyware.htm • http://www.infosum.net/pt/communication/difference-betweenvirus-worms-trojan-horses-and.html • http://www1.folha.uol.com.br/folha/informatica/ult124u15093.sht ml • http://applemania.info/?p=2823 A Taxonomy of Computer Worms http://www.icir.org/vern/papers/taxonomy.pdf - Nicholas Weaver UC Berkeley