Pragas de computador: verdades, mitos e mentiras

Motivação Pragas de computador: verdades, mitos e mentiras Prof. Dr. Adriano Mauro Cansian Pragas de computador são um problema já bem conhecido, porém cada vez mais atuantes e sofisticados. É estimado que os vírus de computador causaram danos de US$ 55 bilhões em 2003. Em 2002 os danos foram entre US$ 20 e 30 bilhões e em 2001, US$ 13 bilhões. (*) No pico da infecção, o vírus MyDoom estava em cerca de 1 a cada 12 e-mails na Internet. (**) (*) Fonte: Trend Micro, 16 de janeiro de 2004 (Computer World Article at http://www.computerworld.com) (**) Fonte: Message Labs, 17 de janeiro de 2004 (http://www.messagelabs.com) 1 2 Introdução Casos Famosos Os vírus e worms de computador estão em constante disseminação, e tentam ludibriar o usuário a instalá-los de diversas formas: ofertas de dinheiro fácil; fotos de celebridades nuas; Falsos avisos do administrador do sistema, entre outros. É indispensável que o usuário se conscientize e proteja seu computador para evitar roubo de documentos confidenciais, senhas, ou que ataques sejam lançados a partir de seu PC. Alguns casos famosos incluem o do primeiro worm, o Morris, que será abordado adiante. Como exemplo recente, temos o worm Blaster, que infectou rapidamente milhões de computadores no ano de 2003, tirando muitos serviços do ar. No fim de 2003 e início de 2004, houve o problema com o MyDoom, que processava em torno de 50 a 60 mil mensagens por hora. 3 4 Risco atual (março/abril de 2004) O que é um VÍRUS? A atual ameaça (2004) é o worm W32/NetSky.P-mm. Vasculha endereços de e-mail em máquinas infectadas para espalhar-se mais rápido. Tenta deletar entradas no registro feitas por outros worms. Taxa de infecção em 24 de março de 2004: 1 em 33 e- mails. Mensagens reais contendo este worm serão mostradas mais adiante. Um vírus de computador é um programinha com uma série de instruções maldosas para o seu computador executar. Desenvolvido para se associar a um programa comum e, no momento que este é executado, o programa vírus também é executado, replicando-se e ligando-se a outros programas. Uma vez executado, pode, tenta ou infecta outros programas ou documentos existentes no computador. Fonte: http://www.messagelabs.com/viruseye/info/netskyp.asp 5 6 1

Como surgiram os Vírus O que é um WORM? Na Universidade do sul da Califórnia, durante uma apresentação em um seminário de segurança, pelo então estudante do curso de doutorado em engenharia. Worm é um programa que tem a habilidade de se copiar de máquina para máquina com a ajuda de programas de e-mails ou de bate-papo (Chat ou IRC). O programa é capaz de se espalhar sem a intervenção humana. Fred B. Cohen, em 1983, escreveu o primeiro vírus de computador. Usando uma rede, um worm pode se expandir inacreditavelmente depressa a partir de uma única cópia. 7 8 Como surgiram os Worms Diferenças: Vírus X Worms Robert Morris: em 1988, escreveu um pequeno programa, denominado então, worm. O próprio worm continha um bug -> travou 10% dos computadores da Internet da época. Robert Tappan Morris Jr. Pelo fato de um worm poder ser considerado um tipo especial de vírus, ambos possuem características em comum, mas, apesar disso são diferentes! Rebeldia ou acidente??? http://www.ee.ryerson.ca:8080/~elf/hack/iworm.html http://kt-www.cs.titech.ac.jp/~natori/ /wormtour.html 9 10 Diferenças: Vírus X Worms Um worm se propaga usando seu próprio poder : fazendo cópias de si mesmo através de um rede e executando-se em outros computadores ou através de mass-mailing (enviando-se para vários destinatários de correio eletrônico). Um vírus se propaga contaminando outro arquivo ou outro código executável (como o setor de boot) do computador. O único modo de um vírus se espalhar de sistema para sistema é através do compartilhamento de arquivos contaminados (através de disquetes, por exemplo). Resumindo, vírus infectam arquivos e worms sistemas. Histórico sobre vírus (1/2) Os tipos de vírus serão explicados mais adiante 1981 O primeiro vírus na rede Apple virus 1983 O primeiro vírus experimental documentado Artigo de Fred Cohen, definindo um vírus e descrevendo os experimentos feitos como prova de conceito (um vírus é viável) 1984 É criado o Brain: primeiro vírus de boot - Primeiro trojan, distribuido como o shareware do programa PC-Write 1987 Surgem os primeiros vírus de arquivos Infectavam principalmente arquivos COM (COMMAND.COM principalmente Alguns já conseguiam alterar executáveis 1991 Primeiro vírus polimórfico ou mutante Possui capacidade de auto-alteração para evitar detecção 11 12 2

Histórico sobre vírus (2/2) 1995 Primeiro vírus de macro Atacava o Word 1996 Boza - Primeiro vírus para arquivos Windows 95 Primeiro vírus de macro para Excel Staog Primeiro vírus para Linux (dos criadores do Boza) 1998 Surge o primeiro vírus para Java Back Orifice Primeiro trojan para administração remota 1999 Melissa A primeira combinação de vírus de macro e worm. Utilizava o livro de endereços do Outlook para propagação 2000 ~ 2004 As características dos vírus começam a se misturar, e tornam-se cada vez mais poderosos. Ao falar sobre worms, isso ficará mais evidente. Histórico sobre Worms (1/2) 1980 Primeiros testes com worms Intenções benignas: realizar tarefas administrativas na rede Se mal usado, poderia trazer consequências ruins 1988 O chamado Internet Worm causa a primeira crise na Internet Causou negativa de serviço em vários computadores Nasce o CERT (Computer Emergency Response Team), com a função de forncer respostas a estes tipos de incidentes 1999 worm Melissa Vírus de macro do Word Se propagava por listas de endereços do Microsoft Outlook Deletava arquivos de inicialização do sistema infectado Causou grande aumento de tráfego na internet 2000 worm I Love You Se propagava de maneira semelhante ao Melissa Técnicas de engenharia social são utilizadas 13 14 Histórico sobre Worms (2/2) 2001 Code Red worm Explorava vulnerabilidade do IIS Ativo por default no Windows 2000/NT Tinha como alvo o site da Casa Branca 2003 Sobig Worm Trojan Horse que se propaga por e-mail Afetou, e ainda afeta, milhares de máquinas na internet Blaster Worm Ataca uma vulnerabilidade do sistema de RPC do Windows Reinicia o computador após alguns segundos 2004 MyDoom Worm de maior capacidade de replicação já conhecido Habilita controle remoto do computador afetado Programado para gerar DDOS aos sites das SCO e Microsoft Evolução dos vírus e worms No início, apenas existiam os vírus Alguns anos mais tarde, surge a técnica para a criação de worms Atualmente, o vírus não se enquadra em apenas uma das categorias de vírus a serem mostradas Quanto maior o número de características (trojan, vírus de arquivo, vírus mutante) mais poderoso é o vírus. Quando, além de tudo isso, é também um worm, seu poder de propagação e destruição torna-se gigantesco A eficácia destes malwares aumentam a cada dia, com a utilização, além de tudo o que foi dito, de técnicas de engenharia social (inicia-se com o vírus I Love You) Este cenário assombroso nada mais é que a Internet atual, com um grande representante, que é o MyDoom 15 16 Tipos de Vírus Vírus de Arquivo Vírus de Arquivos O que eles infectam? Ação direta: contaminam arquivos executáveis. Residentes: ficam armazenados na memória RAM. Vírus de Macro: infectam arquivos do Microsoft Word. Vírus de Boot ou de Sistema Algumas empresas especializadas classificam os vírus em mais duas categorias: vírus de sistema de arquivo e vírus de kernel (núcleo do sistema). São menos comuns. Infectam arquivos executáveis e bibliotecas de executáveis. Riscos envolvidos: podem executar qualquer tipo de ação maliciosa: apagar arquivos, roubar informações, alterar o funcionamento normal da máquina, etc. Infecção: Ação direta: cada vez que um programa infectado é executado outros programas são contaminados. Residentes: infectam porções da memória RAM e posteriormente programas executados na máquina são a maioria dos vírus existentes. 17 18 3

Vírus de Macro Vírus de Boot Arquivos do Microsoft Word ou Excel podem executar códigos arbitrários, ou seja, também podem executar ações maliciosas. Infectam a MBR (Master Boot Record) dos discos rígidos ou o setor de boot dos sistemas de arquivos, principalmente o sistema FAT. Riscos: comprometimento das informações armazenadas no computador. A infecção ocorre através de arquivos infectados que contaminam principalemente os templates e outros arquivos do Word ou Excel. Riscos: Comprometem o funcionamento normal do computador, podendo inutilizá-lo temporariamente. Podem apagar todas as informações existentes na máquina. Infecção: através de disquetes infectados ou dispositivos de disco infectados. 19 20 Ambiente de Propagação Vírus em e-mails A propagação é maior em sistemas Microsoft Windows devido, principalmente, a dois fatores: Popularidade do sistema. Grande número de vulnerabilidades nestes sistemas. Existem também vírus para todas as outras plataformas (Linux, UNIX, MacOS X, etc), inclusive existem vírus para PDA's. E-mail é simplesmente um meio de propagação para os vários vírus existentes. Podem transportar todos os tipos de vírus, ou seja, os riscos estão relacionados ao tipo de vírus que o e-mail transporta. Atualmente criminosos utilizam e-mails para distribuir um tipo especial de software malicioso: os Keyloggers. Infecção: Exploram vulnerabilidades dos softwares de e- mails ou a curiosidade usuário. 21 22 Tipos Avançados de Vírus Métodos de proteção contra vírus Aplicações Web Scripts maliciosos presentes em páginas web. Utilizam as linguagens: PHP, Javascript, ASP, etc São menos destrutivos pois não possuem acesso ao sistema de arquivos. Mobile Coding (Java e Virtual Machines): são vírus que podem ser executados em várias plataformas diferentes através das máquinas virtuais. Vírus Mutantes ou polimórficos: produzem automaticamente variantes funcionais de seu próprio código para enganar os softwares anti-vírus. 23 Sistemas anti-vírus São programas capazes de detectar e remover vírus Impedem os vírus de contaminar o sitema Restauram sistemas contaminados Verificam se o e-mail está seguro Estão presentes em grande parte dos servidores da internet e dos computadores pessoais Necessitam de atualização para manterem-se efecientes FireWalls São programas que protegem seu sistema de ameaças vindas da rede e da internet Dificultam a ação de vírus que exploram vulnerabilidades da rede 24 4

Métodos de proteção contra vírus Métodos de limpeza Servidor de Internet Proxy da rede Estação de Trabalho Proteção em camadas Antivírus é executado em vários computadores controlando o fluxo de e-mail e arquivos em geral A chance de detecção do vírus é aumentada Alternativas para efetuar a limpeza em um sistema infectado Atualize seu anti-vírus e execute uma varredura completa em seu sistema Verifique a existencia vacinas disponíveis nos sites especializados. Uma Vacina é um programa pequeno utilizado para detectar e remover apenas alguns vírus, worms e/ou trojans depois que estes já se instalaram no sistema Procure informação nos distribuidores de anti-vírus sobre a remoção manual do vírus 25 26 Métodos de limpeza Procedimentos de Limpeza Desconecte fisicamente os computadores infectados da rede sua para evitar que a infecção se espalhe Remova o vírus, worm ou trojan Refaça uma verificação completa em seu sistema para asseguar que a remoção foi efetivada com sucesso Restaure dados do seu backup caso necessário Documente o processo de remoção. Você terá uma referência para consultas futuras e desinfecção de outros computadores Alternativas de uso gratuito Anti-vírus de uso gratuito AVG Anti-vírus Free Edition http://www.avgbrasil.com.br, atualizações em: http://www.grisoft.com/ Freeware avast! 4 Home Edition http://www.avast.com/ AntiVir Personal Edition http://www.free-av.com/ Anti-vírus onlines Panda ActiveScan (detecção e remoção) http://www.pandasoftware.com/activescan/pt/activescan_principal.htm Norton Antivírus online (detecção apenas) http://security.symantec.com/sscv6/ Trend Micro HouseCall http://housecall.antivirus.com/housecall/start_corp.asp Obs.: nos links iexistem opções de download para versões pagas e gratuitas dos anti-vírus indicados 27 28 Alternativas de uso gratuito Prevenção: por que prevenir? Firewalls ZoneAlarm Free http://www.zonelabs.com Outpost Firewall FREE http://www.agnitum.com/ Sygate Personal Firewall http://www.sygate.com/ Ferramentas contra Spyware Spybot Search and Destroy http://www.safer-networking.org/ AD-aware 6.0 http://www.lavasoftusa.com/ Dica: você pode encontrar links para estes e outros softwares relacionados a proteção contra vírus em www.superdownloads.com.br Uma vez que a remoção de um vírus é bastante trabalhosa e, em alguns casos é recomendada até a formatação do computador, a prevenção é extremamente necessária. E menos trabalhosa... Ao evitar a contaminação do seu computador você também interrompe a propagação do vírus através da Internet, fazendo bem também para outros usuários. Ou seja, nesse caso, prevenir é realmente melhor do que remediar! 29 30 5

Prevenção: como prevenir Prevenção: como prevenir Utilize sempre um antivírus e um firewall e mantenha-os sempre atualizados. Não executar ou abrir arquivos recebidos por e-mail, mesmo que venham de pessoas conhecidas, mas caso seja inevitável, certifique-se que o arquivo foi verificado pelo programa antivírus. Não configure seu programa de e-mail para executar automaticamente os anexos. Não deixe discos nos drives ao desligar ou reiniciar seu computador. Ao terminar de utilizar um disquete, proteja-o contra gravação. Desativar as macros do Word. Não execute arquivos de fontes suspeitas (sites da Internet, IRC, etc...) ou, pelo menos, certifique-se de que não estão infectados antes. Faça sempre as atualizações do seu sistema operacional, principalmente se ele for o Windows. Atualize também os seus programas. 31 32 Epílogo (worm( W32/NetSky.P-mm) Agora, alguns exemplos de e-mail contendo código malicioso anexado: Subject suspeito Anexos com extensões SRC, EXE, ZIP ou PIF Mensagem e descrição do anexo tentando enganar o usuário e/ou referenciando vendedores de anti-vírus. 33 6