VÍRUS DE CELULAR: ESTUDO E CLASSIFICAÇÃO PARA UM PROTÓTIPO DE DEFESA. Horst Martinelli. Prof. Vinicius Gadis Ribeiro. Professor Orientador

Transcrição

1 0 VÍRUS DE CELULAR: ESTUDO E CLASSIFICAÇÃO PARA UM PROTÓTIPO DE DEFESA Horst Martinelli Prof. Vinicius Gadis Ribeiro Professor Orientador Porto Alegre 2008

2 1 Horst Martinelli VÍRUS DE CELULAR: ESTUDO E CLASSIFICAÇÃO PARA UM PROTÓTIPO DE DEFESA Trabalho de Conclusão de Curso II apresentado à Faculdade de Informática, como requisito para a obtenção do título de Bacharel em Sistemas de Informação. Orientador: Prof. Vinicius Gadis Ribeiro Porto Alegre 2008

3 Agradeço aos meus pais, professores de faculdade, Gaspare Giuliano Bruno, Silvia Castro Bertagnolli, Vinicius Gadis Ribeiro pelo auxílio e contribuições para a realização deste trabalho. 2

4 3 RESUMO O presente texto consiste no levantamento teórico sobre vírus de computadores, definindo: classificações, como agem, critérios de ativação e propagação, servindo da mesma forma como alicerce e introdução à nova tendência com alvos nos celulares. Esta também ameaça o mercado emergente em termos de segurança para dispositivos móveis (Smartfones e PDAs). Serão comentados aspectos importantes relacionados aos dois ramos (computadores de mesa e dispositivos móveis) e tecnologia sem fio Bluetooth, mensagens de texto simples e multimídia (SMS e MMS) para elaboração de um protótipo de segurança. Palavras-Chave: vírus, celular, Bluetooth, SMS

5 4 ABSTRACT The present work consists of theoretical survey about computer virus, defining: classifications, such as acting, criteria for activation and propagation, serving in the same way as foundation and introduction to the new trend which is the target cell. This also threatens the emerging market in terms of security for mobile devices (Smartfones and PDAs). Discussed will be important aspects related to the two arms (desktops and mobile devices) and Bluetooth wireless technology, text messages and simple multimedia (SMS and MMS) for development of a prototype security. Keywords: Virus, Cell Phone, Bluetooth, SMS

6 5 LISTA DE ABREVIATURAS E SIGLAS AMPS API AV CDC CDMA CLDC CPU DLL DCA EDGE ESN FCA FDMA FFC FHSS FSK GCF GSM GPRS HTML HTTP IDE IM JCP JVM JRE JSR ISDB-T LCD MIDP MIN MMS MSS MSA MTSO NASDAQ NDIS NIST NT Advanced Mobile Phone System Application Programming Interface Antivirus Connected Device Configuration Code division multiple Access Connected Limited Device Configuration Central Processor Unit Dynamic-link library Dynamic Channel Assignment Enhanced Data rates for GSM Evolution Electronic Serial Number Fixed Channel Assignment Frequency division multiple Access Federal Communications Commission Frequency Hopping Spread-Spectrum Frequency Switching Key Generic Connection Framework Global System for Mobile communications General Packet Radio Service Hypertext Markup Language HyperText Transfer Protocol Integrated Development Environment Instant Messager Java Community Process Java Virtual Machine Java Run-Time Environment Java Specification Requests Integrated Services Digital Broadcasting Terrestrial Liquid Crystal Display Mobile Information Device Profile Mobile Identification Code Multimedia Messaging Service Mobile Service Station Mobile Service Architecture Mobile Telephone Switching Office North American Securities Dealers Automated Quotation System Network Driver Interface Specification National Instituts of Standarts and Tecnology New Technology

7 6 PAN PDA PC RAM ROM SBC SID SMS SMSC SO TCC TDMA UML USB WAP WMA Wi-Fi WTK Personal Area Network Personal digital assistant Personal Computer Random Acess Memory Read Only Acess Sociedade Brasileira de Computação System Identification Code Short Messaging Service Short Messaging Service Control Sistema Operacional Trabalho de Conclusão de Curso Time division multiple Access Unified Modeling Language Universal Serial Bus Wireless Application Protocol Wireless Messaging API Wireless Fidelity Wireless Tool Kit

8 7 LISTA DE FIGURAS Figura 1 Exemplo de vírus Add-on...22 Figura 2 Exemplo de vírus Shell...22 Figura 3 Exemplo de vírus Intrusive...22 Figura 4 - Exemplo de código viral por Cohen...24 Figura 5 - Diagrama de divisão de bases para celulares...37 Figura 6 - Diagrama de comunicação entre operadoras de celular...42 Figura 7 - Formas de propagação de vírus e danos para celulares...47 Figura 8 - Kaspesky Mobile para celulares Figura 9 - Airscanner Firewall - Criação de regras e filtros Figura 10 - Airscanner Firewall - Parâmetros, regras e informações...52 Figura 11 - Symantec Mobile Security Exibição em smartfones Figura 12 - IDE NetBeans - Tela inicial do ambiente Figura 13 Simulador de celular Java Sun WTK Figura 14 Foco da aplicação...58 Figura 15 - JSRs suportadas pelo Nokia 7510 Supernova Figura 16 Relação de JSRs demonstradas na página da Sun Figura 17 Relacionamento da WMA com GFC por Ortiz Figura 18 Configurações do arquivo internal.config...62 Figura 19 Diagrama de Caso de Uso Bloquear SMS...63 Figura 20 Diagrama de Caso de Uso Permitir SMS...64 Figura 21 - Diagrama de Classe do protótipo Figura 22 - Diagrama de seqüência...66 Figura 23 Estrutura de interação do bloqueador SMS...74 Figura 24 Métodos essenciais do protótipo Figura 25 Segmento de código A do vírus Cabir Figura 26 Segmento de código B do vírus Cabir....90

9 8 LISTA DE QUADROS Quadro 01 Caso de Uso Bloquear SMS Quadro 02 Caso de Uso Permitir SMS Quadro 03 Caso de uso Bloquear SMS...66 Quadro 04 Caso de uso Receber SMS...67 Quadro 05 Caso de uso Enviar SMS Quadro 06 Tabela de mensagens de Casos de Uso Quadro 07 JSRs suportadas pelo celular Sony Ericsson W810i...71 Quadro 08 JSRs suportadas pelo celular Nokia 2760b....72

10 9 SUMÁRIO RESUMO...3 ABSTRACT...4 LISTA DE ABREVIATURAS E SIGLAS...5 LISTA DE FIGURAS...7 LISTA DE QUADROS...8 SUMÁRIO INTRODUÇÃO PROGRAMAS DANINHOS E TELEFONIA MÓVEL Introdução a programas e compiladores Vírus - Conceito e analogias Definições de programas daninhos Tipos de proliferações virais Sintomas Contaminando um hospedeiro Evoluções de vírus Antivírus A limitação de um antivírus Firewall Mobilidade Sistemas operacionais mobiles PalmOS BlackBerry Windows Mobile Linux Symbian Introdução à telefonia móvel Células Sinal analógico e digital Redes e tecnologias de celulares Mensagens SMS O envio de mensagens SMS Tecnologia Bluetooth Vírus para dispositivos móveis O início das ameaças Transmissão e danos Tendências e considerações Programas relacionados e proposta de trabalho Kaspersky Lab Airscanner Symantec Proposta de trabalho...53

11 3 METODOLOGIA A linguagem Java Características da Java Netbeans e o Mobility Pack Framework genérico de conexão Desenvolvimento com Netbeans Modelagem Metodologia para Testes Segurança em Java RESULTADOS OBTIDOS CONCLUSÕES...79 REFERÊNCIAS...82 ANEXO A: Ambiente DOS...86 ANEXO B: Código do vírus Cabir...88 ANEXO C: Artigo publicado - SEMINFO

12 11 1 INTRODUÇÃO Este trabalho abrange o conceito de vírus de computadores - com estudos de diversas áreas do conhecimento em informática. Tais áreas como lógica e programação, arquitetura de computadores, sistemas operacionais, protocolos de comunicação, estrutura, segurança de dados e redes de telefonia móvel. Seu objetivo visa à elaboração de um protótipo como forma de defesa para celulares. Depois dos primeiros computadores, por volta dos anos 80, a programação dominante deixava de ser a de cartões perfurados para arquivos e comandos. Primeiros indícios apontavam para uma pseudo-replicação de programas em memória, sem intervenção ou ação do usuário. Neste tempo surgiu um livro chamado When Harlie was one, Gerrod (1972 apud Ferbrache 1992, p.6) que apresentou o primeiro conceito de vírus por pesquisadores. O conceito começou com dois programas que ficaram conhecidos como o ser rastejante e caçador. Basicamente o ser rastejante se espalhava pelas maquinas da rede, imprimia um arquivo na tela, transferia o código e estado para um sistema remoto e apagava o arquivo original. A missão do caçador era buscar justamente por essas cópias do ser rastejante na rede a fim de destruílas. Esse conceito despertou interesse em uma comunidade restrita de programadores com conhecimento no ramo, que posteriormente evoluíram a idéia. Os anos se passaram e os primeiros vírus surgiram bastante modestos, até a chegada de um novo conceito que apareceu com o livro Neuromancer de William Gibson, em 1984, cultuando o gênero cyberpunk e cyberspace. Cyberspace tratava-se de um mundo virtual dominado pelas máquinas, interligando tudo e a todos através de uma grande rede global, nas quais as pessoas eram tratadas como objetos e a inteligência artificial ganhava vida. Esse ambiente virtual lançava o conceito de um sistema de defesa contra as

13 12 pessoas que violassem a paz e a lei, através de repreensões via choques neurais. No livro de Gibson, os cyberpunks, eram, então, as pessoas que lutavam contra essa dominação, os quais foram posteriormente glorificados como Hackers pessoas de altíssimo conhecimento capazes de lutar, combater e derrubar estes sistemas. A partir de então, uma grande comunidade de pessoas na vida real surgiu com idéias motivadas pelo livro de Gibson, aumentando assim a criação de programas malignos, desafiadores ou para fins próprios que se espalham até hoje pelas redes de computadores. Veja que o termo hacker não deve ser confundido com o termo cracker: este é que tem o intuito de roubar, alterar dados alheios ou sem permissão. Hacker é aquele que busca dividir o problema em partes para achar uma solução e não tem objetivos maléficos, porém popularmente ficou confundido nesta terminologia. Hoje em dia milhares de pragas circulam pela Internet e se espalham devido às causas mais comuns como: falhas de segurança em sistemas operacionais, desconhecimento e curiosidade de usuários em executar programas desconhecidos, compartilhamento de arquivos, confiabilidade. Como motivação, e objetivo do trabalho, este estudo dedica-se a vírus em geral para sistemas de informação, passando por telefonia móvel, até alcançar o foco vírus para celulares. Como complemento específico propõe-se um protótipo que permita bloquear envios e recebimentos de mensagens SMS para celulares. O presente trabalho está estruturado da seguinte forma: o próximo capítulo apresenta a introdução sobre as definições de vírus, tipos e formas de infecções, passando pela arquitetura de telefonia móvel, sistemática e seu funcionamento, além dos tipos de ameaças para dispositivos móveis. No capítulo seguinte são apresentadas algumas das ferramentas de defesa existentes. Posteriormente, é apresentada uma proposta como solução. Resultados e conclusões são tecidos ao final do trabalho.

14 13 2 PROGRAMAS DANINHOS E TELEFONIA MÓVEL O presente capítulo trata do referencial teórico deste trabalho, introduzindo o conceito sobre programas de informática e a definição de vírus de computador. Este último será estudado com ênfase, dividindo-o em níveis do conhecimento, tais como: tipos e definições de vírus, sintomas, formas de contaminação e estudo de algoritmos. Serão analisadas também ferramentas de proteção como antivírus e firewall. Na seqüência, a atenção será concentrada para a mobilidade e seus assuntos relacionados. Entre eles se destacam: telefonia de celular, estruturas de comunicação, células, aparelhos analógicos e digitais, códigos de segurança, redes, mensagens SMS e Bluetooth. Sua finalidade será vital para o foco deste trabalho, cuja continuação trata do tema central sobre ameaças para dispositivos móveis, propagação e danos. 2.1 INTRODUÇÃO A PROGRAMAS E COMPILADORES Por definição de David, um programa executável de computador será criado a partir de um compilador (Ferbrache, 1992). O compilador na verdade é a combinação de um montador com um ligador, tornando-se um interpretador de comandos. Em outras palavras ele converte um conjunto de instruções escritas pelo autor na sua linguagem para a linguagem da máquina, atuando como um tradutor de textos, falando superficialmente de uma forma mais simplificada. Uma vez traduzida às instruções, é gerada uma cópia do seu código fonte em disco de forma executável. Assim, toda vez que for necessária a execução daquele programa, ele não precisará ser traduzido e nem compilado de novo, pois estará sob forma pronta. Cada programa tem em sua consistência uma assinatura, uma versão, como forma de identificação do

15 14 mesmo. Muitos fabricantes de software usam métodos para prover autenticidade nos seus programas. Um destes métodos bastante conhecido é Hash (tipo de assinatura digital) para verificação de integridade e autenticação, na qual será estudada mais adiante. Os sistemas operacionais seguem a mesma regra com compiladores. Logicamente são mais complexos de serem criados, exigindo muito tempo desde a sua elaboração até a implementação, passando por grandes fases de testes e adaptações. Após os sistemas operacionais se encontram os programas mais específicos para realização de determinadas funções (exemplos: editores de texto, programas de gravação de arquivos em mídias removíveis, players de vídeos e áudio, etc.). Uma vez que instalados, os programas costumam extrair funções de bibliotecas de apoio do sistema operacional para executarem suas funções. Lembrando que todo arquivo de computador possui uma data de criação, uma hora, tamanho e possível forma de assinatura que prova a sua autenticidade. Ken Thompson passa informação de que para um programa chegar a qualquer estágio evoluído, seu código fonte passa antes pela transformação de um compilador. The UNIX C é escrito em C propriamente, e carregado o setores de boot usando outra versão mais antiga do compilador C, ou um tipo de compilador mais simples em código assembly, ou simplesmente outra linguagem de alto nível de programação. O novo compilador C é compilado pela versão antiga do C para produzir um programa que vai corretamente compilar C usando suas vantagens do novo compilador, mas com o código gerado pela versão antiga. Essa etapa 2 do compilador pode ser usada para recopilar a si mesmo para produzir um estágio 3 de compilador na qual a analise de sintaxe e semântica do novo compilador tornando um novo gerador de código. Esse processo complexo de inicialização de bootstrap é típico de instalações de novos compiladores em servidores principais. Thompson (1992 apud Ferbrache p. 38, tradução nossa) Como as linguagens de programação não evoluem tão rapidamente, seus compiladores acabam recebendo atualizações, ou conjuntos de novas instruções ao longo dos anos. A linguagem pascal propriamente ainda é utilizada por programadores, e vem sendo melhorada no ambiente de desenvolvimento Delphi. Esse ambiente nada mais faz do que interpretar seus comandos de origem e abrir um conjunto de opções resumidas para elaboração de outras tarefas com menos esforço e tempo.

16 15 Logo então surgiu à tendência para os dispositivos móveis, com incentivos aos programadores pelas linguagens Java, C/C++ e C#, por exemplo. As linguagens de alto nível, por sua vez, tentam amenizar todo tipo de trabalho possível para o programador, deixando a ele o encargo mínimo de diretivas para controle e coerência conforme for sua necessidade. 2.2 VÍRUS - CONCEITO E ANALOGIAS Segundo o autor Eugene (Spafford, 1994), computadores foram designados para executarem instruções uma após a outra. Essas instruções normalmente fazem algo útil calcularem valores, sustentarem banco de dados, e comunicam se com usuários e outros sistemas. Ás vezes uma instrução pode resultar em um erro naturalmente. Quando isso acontece por acidente contatamos o desenvolvedor do software. Esse é o tipo mais comum de comportamento anormal percebido pelo usuário. No entanto, se este erro foi individual, junto a outros programas semelhantes, pode ser considerado o caso de um código malicioso. Autoridades referem-se a isso como malware e vandalware. A idéia vírus de computador segue a mesma definição de um vírus biológico. O próprio termo vírus, originado do Latin, significa veneno, onde um hospedeiro infecta um organismo com uma anomalia e acaba se propagando através do portador para outros organismos. Apesar de que nem sempre pode trazer malefícios, pode-se definir vírus de computador como um segmento de código executável (hospedeiro) que se replica aos outros programas (Spafford, 1994, p.3). Supondo que um vírus infecte uma máquina e que seu objetivo seja, a cada hora, apagar bibliotecas de suporte aos programas do tipo extensões (.dlls). Em pouco tempo pode ser percebido a presença de uma lentidão ou até mesmo congelamentos no computador. Porém, para que um vírus execute suas instruções o ambiente deve proporcionar o reconhecimento de condições estipuladas pelo programador. Uma descrição do autor Ludwing demonstra como um vírus pode procurar por arquivos:

17 16 Para escrever uma rotina que procure por outros arquivos para infectar podemos associar ao modo de procura do DOS. Pessoas que sabem DOS conhecem muitos programas que precisam procurar por arquivos e operar em cima deles se necessário. Eles incorporam um par de instruções de busca, a interrupção 21H chamada de procurar primeiro e procurar depois. O primeiro passo é definir uma string em memória no formato ASCIIZ contendo onde procurar e o que procurar. DOS pode procurar e reportar por arquivos adicionando-se atributos como:? e *. (Ludwig, 1996, p.39, tradução nossa) No ambiente DOS, o comando dir *.doc, dentro da unidade C de um sistema mostrará todos os arquivos do tipo.doc dentro da raiz da unidade. Após localizar um arquivo e infectá-lo, o vírus espera por alguma condição. Tal condição é chamada de gatilho, e ela serve como estopim de disparo do vírus. Exemplos disso: um disparo temporal como bomba lógica, ou quando a memória atingir metade de sua capacidade, senão quando determinado programa for inicializado no sistema. Existem inúmeros critérios de ativação para gatilhos. Primeiro o vírus precisa infectar um executável por adicionar-se ao seu código, o que garante que ele será executado. Segundo, o vírus confere pela assinatura para evitar que infecte um arquivo já contaminado sobre outro novamente. Terceiro, o vírus checa por certa combinação de condições de sistema e se satisfeita a condição será executado o dano (Ferbrache, p.32, tradução nossa). Para que tudo isso aconteça, é necessária basicamente uma seqüência de três passos: 1) vírus fazer contato através de algum meio de comunicação com o sistema não infectado, 2) de acordo com parâmetros e critérios do vírus, associa-se a algum programa ou arquivo em disco. 3) execução do gatilho causando a proliferação para outros arquivos ou máquinas da rede. Ao ser infectada a aplicação original, o vírus modifica as ações do programa de modo que seja executado o código viral antes, durante ou após a execução de sua ação. Para o usuário, muitas vezes não é percebida a execução do vírus, com o poder de processamento e hardware de hoje o sistema pode continuar executando tarefas normalmente como se nada tivesse acontecido, enquanto muitos códigos maléficos estejam danificando programas, sobrescrevendo parte de suas rotinas. Futuramente irão causar erros inesperados.

18 17 Em outras palavras o ocorrido é que adicionalmente o vírus modifica o hospedeiro para que quando este comece a sua execução, o controle seja passado para o malware. Quando o vírus é executado, ele rapidamente procura por um novo hospedeiro, para o qual ele copia seu código. O autor Adleman cita quatro tipos de classificações quanto aos seus comportamentos: Adleman oferece uma série de classificações de vírus baseadas em seu comportamento característico. Ele decompõe o conjunto de vírus em quatro bases subjetivas baseadas em patogênicos e/ou contagiosos. Enquanto a definição formal destes dois critérios é dada, é definida que um organismo patogênico irá causar danos aos hospedeiros, enquanto o contagioso irá apenas causar sua propagação aos outros hospedeiros. Benignos: Se não é patogênico e não é contagioso Cavalo de tróia (trojan): se é patogênico, mas não é contagioso Portador: se não é patogênico, mas é contagioso. Virulento: se é patogênico e é contagioso. Adleman (apud Ferbrache, 1992, p. 36, tradução nossa). A descrição segmento de código executável agregado a um hospedeiro, no caso de um simples vírus de computador, é explicado em outras palavras por David M. Chess, que visualiza uma analogia diferente de vírus: Considerando um conjunto de programas que produzem como saída um programa. Para um par de programas P e Q, P eventualmente produz Q, se, e apenas se P produz Q diretamente ou por uma série de passos. O eventual está ligado a uma série de relações e processos. Um conjunto viral é um Maximo coleção de programas V para cada par de programas P e Q dentro de V onde P eventualmente produz Q e Q eventualmente produz Q. Para esse propósito um vírus de computador é um conjunto de um programa P dizendo que este será uma instancia ou será infectado com o Vírus V precisamente quando P for um membro do conjunto V. Chess (2000, p. 1). Embora a explicação seja mais complexa contempla o sentido, pois um vírus é uma parte de código separado, ou independente que só existe quando em conjunto com um hospedeiro. Na tese do autor não existe relação de um vírus sozinho e independente que aja por conta própria. Por isso a teoria é útil na explicação. Concluindo, logo vírus então é uma combinação de códigos diferentes com propósitos separados (o do vírus e o do programa hospedeiro). Murray (apud Ferbrache, 1992, p. 44), estabeleceu semelhanças entre vírus biológicos com vírus virtuais abaixo. Retomando: para que um vírus infecte um organismo ele precisa passar resumidamente por duas fases:

19 18 Um canal intermediário: quaisquer meios de transporte que levem o invasor até o seu destino. Exemplo: estar dentro de uma rede. Um canal de entrada: formas de contato que o vírus usa para se infiltrar em um equipamento. Exemplo: placa de rede, unidades de disco móvel, CD-ROM, pendrives, infravermelho, Bluetooth. Ainda que se compararmos um vírus de computador com um vírus biológico para sua prevenção, podemos relacionar os seguintes aspectos: Formas de Higiene: define todo e qualquer tipo de prevenção que o usuário deveria ter. Evitar compartilhamento de arquivos em uma rede, não executar programas desconhecidos, endereços suspeitos na internet, arquivos recebidos em anexo a s, mensageiros de comunicação. É uma analogia, como lavar as mãos e alimentos para evitar doenças. Vacinação: No caso de uma infecção, o mais aconselhável é removêla com uso de uma string já reconhecida por empresas de antivírus. Essa string, testada e comprovada, prevê em maior parte dos casos a eliminação o vírus bem como reestruturação de arquivos danificados. Menos trabalhoso e mais seguro que uma remoção manual. Um exemplo disso é a ferramenta gratuita disponibilizada periodicamente pela empresa MCafee, chamada de Stinger para sistemas Windows. Ela não requer instalação. Antibióticos: São os processos mais eficazes no combate, como: monitorar portar de entrada e saída (uso de firewall), utilizar e atualizar um antivírus, atualizações de sistema operacional para correção de falhas de segurança, programas anti-spywares, bloqueadores de popups, etc. Isolação e quarentena: Método mais utilizado nos casos de gripe e epidemia pelos antivírus, isolando indivíduos a fim de não propagarem a doença e serem analisados por especialista até a obtenção de uma cura. No caso dos computadores não tem efeito isolar arquivos e esperar que morram. Alguns antivírus os eliminam,

20 19 mas no sentido desse método é melhor retirar toda e qualquer forma de comunicação que uma máquina infectada possa ter dentro de uma rede. Latência e incubação: Indica um tempo entre a primeira infecção até os sintomas finais da doença. Durante esse período diversos sintomas podem se percebidos. Inicialmente a demora em executar determinados aplicativos nas determinadas extensões, após uma lentidão geral no sistema, seguido de travamentos e erros de memória e até possível pane ou dano físico em hardware (depende das instruções do vírus). Hospedeiros: Portador da doença, ou arquivos finais infectados. Não deixam de serem como os intermediários, mas como dito, se diferem porque estes são os alvos buscados pelo vírus, e na execução das suas funcionalidades. Se executado um intermediário, a ação viral pode não surgir efeito, diferente de quando executado o hospedeiro. As essências das comparações criadas pelo autor permanecem intactas atualmente, diferenciando-se na verdade como os vírus estão evoluindo atualmente. Este assunto será mais bem descrito no decorrer do estudo Definições de programas daninhos Segundo o autor (Ferbrache, 1992), um programa maléfico quando executado dentro de um ambiente e espalha-se pelos seus arquivos pode ser classificado como vírus, diferente de um worm. Para diferenciar isto, e devido ao grande número de diferentes variações dos tipos de malwares e vandalwares, os tipos mais importantes são: Backdoor (porta dos fundos): Como o nome sugere uma porta aberta em um sistema, de forma a não ser notada, que permite a que criou acesso remoto ao mesmo sem passar por sistemas de autorização. Também conhecido como Trap Door (armadilha).

21 20 Chain Letter (corrente de mensagem): Um programa contendo uma mensagem de encapsulada que quando executado envia copias de si mesmo para um número de usuários da lista de contatos do destinatário. Logic Bomb (bomba lógica): Código nocivo que ira se ativar quando determinado gatilho for executado. Exemplo: quando uma mensagem de erro no sistema acusar baixo espaço em disco ou tentar salvar um arquivo, o código maléfico pode tentar apagar arquivos sem perguntar. Time Bomb (bomba de tempo): Programa que é ativado em circunstâncias de data e tempo especifica: Exemplo: vírus sexta feira 13, acionado somente na condição de confirmada esta data. Rabbit (coelho): Programa cuja função é única e exclusivamente se auto multiplicar, causando lentidão no sistema, roubando ciclos e ciclos da CPU e espaço em disco. Trojan Horse (cavalo de tróia): Como na mitologia, o cavalo de tróia simula aspectos importantes a sistema. Normalmente disfarçados, dentro deles se escondem armadilhas capazes de roubar informações, coletar dados, senhas para o autor, através de um canal não monitorado. Vírus: Programa que pode infectar outros programas acoplando seu código ao hospedeiro, e possivelmente replicar-se. Worm (verme): Programa que se diferencia de vírus por duas características: 1) espalha cópias de si mesmo a outros computadores por conexões de rede. 2) Não necessita infectar um hospedeiro, é um programa independente. Surgiu quando desenvolvedores de software notaram que seus programas eram usados sem licenças. Programadores lançaram assim uma forma de detectar em pequenas redes a integridade dos seus produtos. Poucos autores mencionam a diferença entre vírus e worms. Logo, fica perceptível que um vírus tende a infectar arquivos dentro de uma máquina. Já o worm tende a se espalha pelas máquinas de uma rede. Um caso evolutivo,

22 21 que a principio não infecta arquivos. Logo, um worm é um programa independente que quando executado em um computador, tenta infectar outros computadores. Hoje existem novas classificações de aplicações nocivas que afetam o cotidiano dos usuários. Alguns deles são: SPAM: Propaganda massiva por que chega a caixa do usuário sem que ele tenha solicitado. Passa a enviar propagandas freqüentes sobre itens relacionados com a data em que o usuário esteve realizando uma pesquisa, ou sobre assuntos desconexos. Muitas empresas pagam por uma quantidade de s validos comumente chamada de SPAM list. SPAM movimenta todo o tipo de lixo eletrônico causando transtornos e aborrecimentos às pessoas. Pode estar associado às técnicas de contaminação como trojans, worms, vírus com links hypertexto ou executáveis. Popups (propaganda saltante): Parecido com SPAM, porém são janelas que abrem na tela do usuário e não tem relação com s. Mesmo que a conexão com internet esteja desativada, o popup se associado a outro programa e pode ativar estas janelas. Spyware (espião): Programa automático que recolhe informações sobre o usuário, como costumes na Internet, e as transmite para uma entidade externa, sem o consentimento do usuário. Este tipo de programa é diferente de um trojan pois não tem finalidade destrutiva ou de controle sobre o computador infectado. É usado como forma de levantamento de dados pelos criadores. Dialers (discadores): Atualmente em desuso nos países desenvolvidos, seu auge foi quando a maioria das conexões de internet utilizavam os modems discados de velocidades 56kbps. Sua função é substituir o discador da operadora (programa que estabelece comunicação do computador usuário à prestadora de serviços) por outro que cobre por tempo de conexão. Destaque para portais de conteúdos adultos ou de grande visualização diária por internautas. Normalmente ocasionavam altos custos de ligações internacionais às suas vítimas.

23 Tipos de proliferações virais Nesta sessão será demonstrado como um vírus pode infectar outro programa (o hospedeiro). Existem três formas de alojar um código em um programa segundo Eugene (Spafford, 1994, p. 6): Add-on: o vírus é agregado ao código do hospedeiro para o início ou após a sua execução. Pode perceber-se um pequeno aumento no tamanho do arquivo, em certos casos, mas o código do hospedeiro não é alterado praticamente. Cód. vírus Cód. do hospedeiro Figura 1 Exemplo de vírus Add-on Shell: nesta infecção o vírus se torna o programa e o programa original passa a ser uma sub-rotina do vírus, devolvendo o controle a ele após a sub-rotina. Normalmente vírus de boot são baseados nesse conceito por carregarem seu código antes do sistema. Cód. vírus hosp. infectado Cód. programa Figura 2 Exemplo de vírus Shell Intrusive: o hospedeiro é completamente eliminado após a infecção do vírus, sendo substituído pelo mesmo. Em alguns casos o hospedeiro fica completamente inutilizável. Poucos vírus são deste tipo. Cód. vírus Cód. hospedeiro Hospedeiro modificado Figura 3 Exemplo de vírus Intrusive