May 5, 2016

Malwares

O que é um malware?

Malware é um software que tem como objetivo causar algum dano ao usuário, são pragas virtuais, programas com código malicioso. Apesar dessa ser uma definição um software malicioso pode causar danos ao usuário de várias maneiras, um malware pode capturar os dados de um computador de um usuário (senhas, fotos, etc), pode criptografar seus dados, pode encher o usuário de propagandas, tornar o computador mais lento, ter controle do computador de um usuário, etc. Existe várias classificações de malwares, vamos mostrar os mais conhecidos.

Tipos de Malwares

Vírus

Vírus é um programa que se hospeda em um programa ou documento esperando que este seja executado ou aberto para que possa se tornar ativo e assim ter acesso aos dados armazenados no computador e poder executar ações em nome dos usuários, de acordo com a permissão de cada um. O vírus consegue instalar copias de si mesmo em outros programas, ou documentos, ou seja, é capaz de se auto-replicar. Antigamente era comum pegar vírus através de disquetes ou pendrivers mas hoje em dia é maneira mais comum é através da utilização da Internet, principalmente com o uso de e-mails.

Se você receber um e-mail com um programa que esteja contaminado com vírus, o simples fato de abrir um e-mail não vai infectar seu computador, pois é necessário que o vírus esteja na memória RAM, para que isso aconteça , o usuário deve abrir um programa ou documento infectado (clicando duas vezes) ou clicando em um link que contenha conteúdo malicioso, que servirá de hospedeiro para o conteúdo malicioso.

É normal quando falarmos de vírus pensar logo em vírus de computador, mas celulares ou qualquer outro dispositivo eletrônico que exista um software é possível ser infectado por um vírus, mas como o vírus precisar estar presente na memória RAM, ou seja, precisa ser executado é necessário que o vírus atinja uma determinada plataforma pra qual foi criada.

Um vírus biológico se instala no interior das células e consegue se auto replicar, e um vírus de computador segue as mesmas características, por isso recebe esse nome.

Vírus é um malware, mas existem muitos outros tipos que tem características distintas, mas mesmo assim, é comum escutarmos ou lermos algo na internet sobre um determinado vírus mas na verdade é um bot, trojan , ou qualquer outro tipo. Apesar de ter características bem definidas muitas vezes vamos ver a palavra vírus com sentido de malware, ou seja, se referindo a um programa malicioso, o mesmo acontece para a palavra antivirus, onde o correto seria antimalware.

Worm

Worm é uma praga virtual que também se auto replica, criando cópias de se mesmo e se propagando automaticamente pela rede, a diferença para o vírus é que o word não precisa de um hospedeiro, assim, um worm tem um corpo autônomo. Worms se propagam pela rede mas dependem de vulnerabilidades de um software (sistema operacional ou programas).

Vulnerabilidades são falhas de programas. Imagine que uma a empresa Chevrolet produziu alguns carros do modelo Onix com um problema na bomba de combustível, onde esta não venda da forma como deveria existe o risco de vazamento de combustível que pode encontrar alguma faísca no carro e ocasionar uma explosão. Pois bem, pra chevrolet corrigir esse erro é necessário fazer um recall, ou seja, troca da peça, de todos os produtos danificados. Com o software ocorre algo parecido, quando é detectado uma falha no programa, o desenvolvedor deve lançar uma atualização para correção da falha. O windows lança semanalmente patchs que são atualizações para corrigir vulnerabilidades do windows. Outros programas também lançam essas atualizações.

Worms geralmente consomem bastantes recursos, seja processamento, rede, etc.

Cavalo de Troia

Cavalor de Tróia ou Trojans são assim conhecidos por conta da história da Guerra de Tróia que aconteceu entre gregos e troianos por causa do rapto da princesa Helena de Troia (esposa do rei lendário Menelau), por Páris (filho do rei Príamo de Troia). O cerco grego à Troia durou cerca de 10 anos. Vários soldados foram mortos, entre eles os heróis gregos Heitor e Aquiles (morto após ser atingido em seu ponto fraco, o calcanhar). A guerra terminou após a execução do grande plano do guerreiro grego Odisseu. Sua ideia foi presentear os troianos com um grande cavalo de madeira. Disseram aos inimigos que estavam desistindo da guerra e que o cavalo era um presente de paz. Os troianos aceitaram e deixaram o enorme presente ser conduzido para dentro de seus muros protetores. Após uma noite de muita comemoração, os troianos foram dormir exaustos. Neste momento, abriram-se portas no cavalo de madeira e saíram centenas de soldados gregos. Estes abriram as portas da cidade para que os gregos entrassem e atacassem a cidade de Troia até sua destruição. FIM ! Bem, se é mito ou fato histórico eu não sei mas o malware que recebe o nome de Cavalo de Troia se passa por um programa benéfico (como o presente em forma de cavalo) como protetor de tela, jogos, ferramenta de segurança, entre outros, mas quando você menos esperar vai sair(se manifestar) um um programa malicioso (soldados) que vão tomar de conta do seu computador.

O cavalo de troia tem acesso remoto ao computador, ou seja, tem controle total. Acesso aos dados do computador, pode mexer o mouse, tirar prints da tela, abrir leitor de dvd, entre outras coisas.

Spyware

Spyware são programas que captura informações de computador e mandam para o espião (hacker). Pode ser utilizado de forma legitima como maliciosa. Existe basicamente 3 tipos de spywares: Keyloggers, Screenloggers e Adware.

O Keylogger salva em um documento tudo que foi digitado no computador e manda para o espião. Por isso que os sites de banco utilizam teclado virtual para que os computadores que estejam infectados com keylogger não tenha sua senha capturada.

Os Screenlogger captura a imagem da tela em um determinado tempo, este pode capturar a posição do mouse na tela e descobrir a senha do banco, pode pegar prints da tela e descobrir o que o usuário está visualizando. Na maioria das vezes os spywares tentam capturar informações bancarias, mas existem diversos motivos para um espião querer ver a tela de um determinado usuário.

Adware, Ad = anuncio, Ware = programa. Projetado especificamente para apresentar propagandas. Pode ser usado para fins legítimos, quando incorporado a programas e serviços, como forma de patrocínio ou retorno financeiro para quem desenvolve programas livres ou presta serviços gratuitos. Também pode ser usado para fins maliciosos, quando as propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e sem que este saiba que tal monitoramento está sendo feito.

Veja que os três tipos de keyloggers citados não possuem acesso remoto do computador, eles apenas capturam a informação e repassam para terceiros.

Backdoor

Backdoor é um programa que visa permitir o retorno de um atacante/invasor. A forma usual de inclusão de um backdoor consiste na disponibilização de um novo serviço ou na substituição de um determinado serviço por uma versão alterada, normalmente possuindo recursos que permitem o acesso remoto. Programas de administração remota, como BackOrifice, NetBus, SubSeven, VNC e Radmin, se mal configurados ou utilizados sem o consentimento do usuário, também podem ser classificados comobackdoors.

Pode ser que o backdoor seja adicionado propositalmente pela empresa para garantir um futuro acesso, que não é o caso, mas foi sugerido por um juiz para criar backdoor para ajudar em investigações criminais.

Antes de instalar um backdoor é necessário que o usuário consiga acesso ao dispositivo ou sistema, assim, da próxima vez que ele quiser acesso pode utilizar as portas dos fundos (tradução de backdoor) para ter acesso.

Rootkit

Rootkit é um conjunto de programas e técnicas que permite esconder e assegurar a presença de um invasor ou de outro código malicioso em um computador comprometido.

Apesar do nome ter root (usuário com acesso total do sistema) não indica que os programas e técnicas vão garantir acesso privilegiado (administrador) e sim mantê-los .

Vamos supor que você é um invasor, que acabou de invadir um computador com windows, assim você vai instalar um programa chamado backdoor.exe para garantir que você tenha acesso futuro a esse computador, mas se um usuário abrir o cmd.exe e digitar o comando DIR (listar arquivos e pastas de um diretório), é inevitável que o usuário vai encontrar um programa chamado backdoor.exe, então o invasor resolver modificar o comando DIR, assim, quando ele for mostrar um diretório que tenha um arquivo chamdo backdoor.exe o comando não vai mostrar, sendo assim, o usuário "nunca" vai encontrar o backdoor e o invasor "sempre" vai ter acesso a este computador.

Apesar dest exemplo mostrar um rootkit que age sobre o comando DIR do windows, existe várias outros tipos.

Bot e Botnet

Bot é um programa que dispõe de mecanismos de comunicação com o invasor que permitem que ele seja controlado remotamente. Possui processo de infecção e propagação similar ao do worm, ou seja, é capaz de se propagar automaticamente, explorando vulnerabilidades existentes em programas instalados em computadores.

A comunicação entre o invasor e o computador infectado pelo bot pode ocorrer via canais de IRC, servidores Web, twitter, facebook, redes do tipo P2P, entre outros meios. Ao se comunicar, o invasor pode enviar instruções para que ações maliciosas sejam executadas, como desferir ataques, furtar dados do computador infectado e enviar spam.

Um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Também pode ser chamado de spam zombie quando o botinstalado o transforma em um servidor de e-mails e o utiliza para o envio de spam.

Botnet é uma rede formada por centenas ou milhares de computadores zumbis e que permite potencializar as ações danosas executadas pelos bots.

Quanto mais zumbis participarem da botnet mais potente ela será. O atacante que a controlar, além de usá-la para seus próprios ataques, também pode alugá-la para outras pessoas ou grupos que desejem que uma ação maliciosa específica seja executada.

Observação

Apesar de ser uma classificação geral, alguns autores classificam diferente, é possível encontrar spywares sendo classificados como trojans, alguns autores, outros classificam BOTs como worms, etc.

Pois bem, o ideia aqui é dar uma ideia geral pois até mesmo os antivirus não possuem o consenso com relação à essa classificação, até porque os malwares evoluiram bastante e existem malwares que se propagam como os worms, quando estão na máquinas baixam código malicioso e instalam backdoor, ou seja, malwares mais sofisticados utilizam características diversas.

Se você está com dúvida se determinado arquivo é um malware, existe um site chamado virustotal que é um sistema que passa o programa ou url para ser analisado por diversos antivirus e mostra se alguns destes detectou código malicioso.