UFF Universidade Federal Fluminense PURO - Pólo Universitário de Rio das Ostras Ciência da Computação 1º Período Rio das Ostras 23 de maio de 2005 Grupo: Anderson de Abreu Barbosa Roberto Wander Bezerra da Costa Rodrigo Poça dos Santos
Um vírus normalmente é um programa parasita que é capaz de se prender a arquivos ou discos e se reproduz repetidamente. Vírus podem infectar arquivos executáveis, setores de boot de discos rígidos, e até mesmo arquivos do Office.
Tipos de Código: Vírus de Arquivo Antes do arquivo original; Ao final do arquivo original; Sobrescrevendo o código do arquivo original; Inserindo-se em buracos no arquivo original; Sobrescrevendo e mencionando a execução do arquivo original; Escrevendo-se em seções de arquivos de 32 bits. Tipos de Criptografia: Não Criptografado, Criptografado ou Polimórfico. Um vírus Criptografado ou Polimórfico consiste em um ou mais Decriptores e um código principal. Um Decriptador descriptografa o código principal do vírus antes de ser iniciado (isto evita que um antivírus pare o processo no momento da cópia). Vírus Criptografados utilizam normalmente chaves de descriptografia fixas ou variáveis, enquando os Polimórficos utilizam chaves aleatórias determinadas pelo processador e contém uma série de comandos que não são utilizados no processo de descriptografia.
Os Vírus de Boot se alojam no setor de inicialização do disco: MBR (Máster Boot Record); DBR (Dos Boot Record) de um disco rígido; ou FDR (FBR Floppy Boot Record). Os Vírus de Boot podem sobrescrever ou realocar informações. Os que sobrescrevem, se gravam na MBR, DBR, ou FBR sem alterar, preservando as informações da tabela de partições ou as informações lógicas do drive. Os que realocam, salvam as informações. Às vezes essas ações podem inutilizar o disco. Quando o computador é iniciado, o código do vírus é carregado na memória. Então monitora o acesso ao disco e então escreve seu código em outras mídias que são acessadas. Tipos: Residentes: Não Residentes; Vírus de Boot
Os Vírus de Macro infectam os arquivos dos programas Word, Excel, PowerPoint e Access. Variações mais recentes também estão aparecendo em outros programas. Todos estes vírus usam a linguagem de programação interna do programa, que foi criada para permitir que os usuários automatizem determinadas tarefas nestes ambientes. Devido à facilidade com que estes vírus podem ser criados, existem milhares deles espalhados. Exemplos: Melissa; Bubbleboy. Vírus de Macro
Um Worm de computador é um tipo de vírus, que possui como característica principal o poder de se replicar, seja por e-mail (Worms de E-mail ou Mass-Mailer), pela rede, ou até mesmo por outras plataformas. A diferença básica de um worm para um vírus comum é que o vírus necessita de um hospedeiro para se propagar, diferentemente do worm que já é seu próprio hospedeiro.
Worms de E-mail Um Worm de E-mail normalmente é um programa que se envia por e-mail (consigo em anexo) para uma listagem de endereços gravados no computador infectado. Este tipo de Worm foi muito difundido no início do Século XXI, sendo deste tipo de Software Malicioso o possuidor do maior número de incidências atualmente. Processo: Cria entradas em arquivos de sistema ou chave de inicialização; Cataloga todos os e-mails do Caderno de Endereços e arquivos (como HTML); Utilizam extensões.mpg.exe ou.avi.pif para se replicar; Utilizam palavras geralmente utilizadas pelo usuário como Título e Corpo da mensagem; Utilizam o próprio servidor SMTP do usuário para enviar os e-mails.
Worms de Rede Os Worms de Rede geralmente são programas que tentam explorar recursos de uma rede como compartilhamentos de outros computadores ou servidores. Uma vez que um Worm de Rede encontra um compartilhamento na rede, ele se copia para o computador remoto tentando encontrar os arquivos como WIN.INI ou SYSTEM.INI na pasta de sistema, ou se aloja na pasta startup para ser inicializado na próxima ver que o computador for reiniciado. Alguns utilizam técnicas como BruteForce para penetrar em compartilhamentos que solicitam senha. O trabalho de limpar uma rede de computadores de um determinado worm é muito grande visto que este possui um alto poder de disseminação. Ou seja, é necessário manter fora de qualquer tipo de conexão física com a rede e limpar computador a computador as entradas e infecções deixadas pelo intruso para garantir que o mesmo não vá voltar antes mesmo de terminar todo o processo.
Worms de Plataformas Os Worms de Plataformas Específicas são tipos de intrusos que exploram falhas de segurança em determinados aplicativos. É o caso dos Worms de IIS (Internet Information Service) ) que utilizam brechas deixadas pelos programadores e que conseguem garantir o acesso a determinados dados. O IIS é uma aplicação servidora de http, ftp e smtp. No caso do http, é possível explorar vulnerabilidades em sites e obter dados de tabelas de banco de dados, como por exemplo, as informações de senhas dos usuários. Existem ainda os Worms de IRC (Internet Relay Chat) que exploram as falhas e vulnerabilidades dos clientes IRC (mirc, Scoop, etc). O cliente IRC mais afetado hoje em dia é mirc. Geralmente, os Worms de IRC substituem arquivos INI, em seu diretório de instalação com seus, com seus próprios códigos maliciosos. Quando o usuário entra um em um canal, então o script instrui ao cliente enviar um cópia de seu executável para cada um dentro daquele canal.
UM POUCO DE HISTÓRIA Morris Worm este foi o primeiro worm, que atraiu grande atenção, criado na história da computação. Escrito por Robert Tappan Morris Jr., no Laboratório de Inteligência artificial do MIT, ele foi iniciado em 2 de novembro de 1988 e rapidamente se propagou pela Internet. Propagou-se através de uma série de erros no BSD Unix e seus similares. Morris foi condenado a prestar três anos de serviços à comunidade e a pagar uma multa de US$ 10.000. Os worms Sobig e Mydoom funcionavam instalando backdoors (brechas) nos computadores tornando-os abertos a ataques via Internet. Estes computadores zumbis eram utilizados para enviar email ou para atacar endereços de sites da Internet. Os worms podem ser úteis: a família de worms Nachi, por exemplo, tentava buscar e instalar patches do site da Microsoft para corrigir diversas vulnerabilidades no sistema (as mesmas vulnerabilidades que eles exploravam). Isto eventualmente torna os sistemas atingidos mais seguros, mas gera um tráfico na rede considerável freqüentemente maior que o dos worms que eles estão protegendo causam reboots da máquina no processo de aplicar o patch, e talvez o mais importante, fazem o seu trabalho sem a permissão do usuário do computador. Por isto, muitos especialistas de segurança desprezam os worms, independentemente do que eles fazem.
Como diz a mitologia grega, "Cavalo de Tróia" foi uma grande estátua, utilizada como instrumento de guerra pelos gregos para obter acesso a cidade de Tróia. A estátua do cavalo foi preenchida com soldados que, durante a noite, abriram os portões da cidade possibilitando a entrada dos gregos e a dominação de Tróia. Daí surgiram os termos "Presente de Grego" e "Cavalo de Tróia". Na informática, um Cavalo de Tróia (Trojan Horse) é um programa que, além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente maliciosas e sem o conhecimento do usuário. Tipo: Alteração ou destruição de arquivos; Furto de senhas e outras informações sensíveis, como números de cartões de crédito; Inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador.
Spywares: são aplicativos que monitoram as atividades dos usuários capturando informações sobre eles. Os spywares podem vir embutidos em softwares desconhecidos ou serem baixados automaticamente quando o usuário visita sites de conteúdo duvidoso. Keyloggers: são pequenos aplicativos que podem vir embutidos em vírus, spywares ou softwares do gênero. Destinados a capturar tudo o que é digitado no teclado, o objetivo principal, é o de capturar senhas. Hijackers Muitos são programas até enviam ou scripts por que e-mail se integram os logs para a seus criadores. navegadores de Internet, principalmente o Internet Explorer. Quando isso ocorre, o hijacker altera a página inicial do seu browser e o impede de mudá-la, exibe propagandas em popups, instala barras de ferramentas no navegador e podem impedir acesso a determinados sites.
Bibliografia http://www.infowester.com http://www.securitysage.com http://www.infoaudio.com.br http://www.wikipedia.com http://www.f-secure.com