Segurança da Informação

Softwares Maliciosos (Malwares)

O software malicioso, ou malware, continua a ser um enorme problema para os usuários da Internet. Devido ser a sua causa uma variedade e prevalência e do nível de perigo que apresenta. É importante perceber que o malware pode assumir muitas formas. A grande classe de malware é infecciosa, que inclui vírus e worms.

Os vírus e worms são auto-replicantes, o que significa que eles se espalham de um hospedeiro para outro, fazendo cópias de si mesmos. Os vírus são pedaços de código anexado a um arquivo normal ou programa. Quando o programa é executado, o código do vírus é executado e copia para (ou infecta) outro arquivo ou programa.

Diz-se frequentemente que os vírus precisam de uma ação humana para se espalhar, enquanto worms são programas automatizados, autônomos. Worms procuram alvos vulneráveis ??em toda a rede para transferir uma cópia de si mesmos quando um alvo é comprometido com sucesso.

Historicamente, vários worms tornaram-se conhecidos e estimularam preocupações sobre a possibilidade de uma epidemia rápida, infectando hosts conectados à Internet antes mesmo que as defesas possam pará-las.

Citando alguns dos worms mais conhecidos, em 1988 o worm Robert Morris Jr infectou milhares de hosts Unix. Em 1999 o worm Melissa infectava Documentos do Microsoft Word e enviava-se a endereços encontrados em uma vítima infectava pelo Microsoft Outlook. Neste momento, o worm Melissa demonstrou que o e-mail poderia ser um vetor muito eficaz para distribuição de malware, e diversos worms posteriores continuaram a utilizar de e-mail.

Entre 2001 e 2004, inumeros worms apareceram, Code Red, Nimda, Klez, SQL Slammer/Sapphire, Blaster, Sobig, e MyDoom.

Uma característica importante dos vírus e worms é a sua capacidade de transportar uma carga (payload) maliciosa que é executado em um host comprometido. A carga pode ser praticamente qualquer coisa. Por exemplo, o SQL Slammer/Sapphire não tinha carga, enquanto Code Red carregava um agente para executar uma (DoS) ataque de negação de serviço em determinados endereços fixos. Chernobyl ou CIH tiveram uma das cargas mais destrutivas, na tentativa de substituir os arquivos de sistema críticos e BIOS do sistema que são necessários para o computador iniciar.

Worms são por vezes usados ??para entregar outros tipos de malware, como bots, em seu payload. Worms são escolhidos pela sua habilidade como descrito acima de espalhar sem ação do usuário. Existem também worms que tem por caracteristicas a tentativa de se ocultarem. Nesta categoria temos os cavalos de Tróia e rootkits. Worms não são particularmente furtivos (a menos queeles sejam projetados paraser), porque eles são tipicamente indiscriminados em seus ataques. Eles sondam potenciais alvos na esperança de comprometer muitos alvos rapidamente.

Alguns worms são fáceis de detectar devido ao alto tráfego de rede que acabam por gerar. No entanto, uma caracteristica importante para um malware é a discrição, para que não sejam detectados por softwares de defesa.

Cavalos de Tróia são um tipo de malware que parecem executar uma função útil, mas escondem uma função maliciosa. Assim, a presença do cavalo de troia pode não ser escondida, mas a funcionalidade não é totalmente revelada. Por exemplo, um codec de vídeo poderia oferecer a funcionalidade para exibir ertos tipos de vídeo, mas também secretamente roubar dados do usuário. No segundo semestre de 2007, a Microsoft anunciou um aumento dramático de 300% no número de trojans.

Rootkits são essencialmente modificações no sistema operacional para ocultar a presença de arquivos ou processos em meios normais de detecção. Rootkits são muitas vezes instalados como drivers ou módulos do kernel. Um exemplo muito divulgado foi o de software (XCP) que continha a cópia estendida de protecção incluída em alguns CDs de áudio da Sony BMG em 2005, para impedir a cópia de música. O software foi instalado automaticamente em PCs com Windows, quando um CD foi tocado. Feito por uma empresa chamada First 4 Internet, XCP infelizmente continha um elemento oculto, rootkit, que alterava o sistema operacional para evitar que ele exibisse quaisquer processos, entradas de registro ou arquivos com nomes começando com $sys $. Embora a intenção de XCP não fosse mal intencionada, há a preocupação de que o rootkit pudesse ser usado por criadores de malware para esconder malware.

Uma terceira classe importante de malware é projetada para controle remoto. Esta categoria inclui Trojans de acesso remoto e bots. Em vez de acesso remoto com entendimento de um cavalo de Tróia, pode ser interpretado como ferramenta de administração remota, porque ele pode ser usado para fins legítimos por administradores de sistemas. De qualquer maneira, esta categoria se refere a um tipo de software que consiste geralmente em peças de servidor e cliente projetadas para permitir comunicações secretas com um controle remoto. A parte cliente é instalado em um host vítima e ouve principalmente para instruções da parte do servidor, localizada no controlador. Exemplos notórios incluem os antigos e conhecidos Back Orifice, Netbus, e Sub7.

Bots são programas de controle remoto instalados secretamente em hosts inocentes. Bots são tipicamente programados para ouvir canais de IRC para instruções. Todos os bots sob controle do mesmo bot formam uma botnet. Botnets foram conhecidos para serem alugados para efeitos de envio de spam ou lançar um DoS (DDoS). A potência de uma botnet é proporcional ao seu tamanho, mas tamanhos exatos têm sido difíceis de descobrir. Um dos robôs mais divulgados é o verme tempestade, que tem vários apelidos. Tempestade foi lançado em janeiro de 2007 como spam com um anexo de cavalo de tróia. Como uma botnet, Tempestade (Storm) tem mostrado resistência incomum, trabalhando de forma distribuída peer-to-peer sem controle centralizada. Cada host comprometido se conecta a um pequeno subconjunto de toda a botnet. Cada infectado sedia partes das listas de outros hosts infectados, mas nenhum único host tem uma lista completa de toda a botnet.

O tamanho da botnet tempestade foi estimado em mais de 1 milhão de hosts comprometidos, mas um tamanho exato foi impossível determinar por causa das muitas variantes de bots e medidas ativas para evitar a detecção. Seus criadores têm sido persistentes em atualizar continuamente suas iscas com eventos atuais e táticas evoluindo para se espalhar e evitar a detecção.

Outra importante classe de malware é projetada para roubo de dados. Esta categoria inclui os keyloggers e spywares.Um keylogger pode ser um cavalo de Tróia ou outro tipo de malware. Ele é projetado para registrar a digitação de um usuário e, talvez, comunicá-las a um atacante remoto. Keyloggers são plantados por criminosos em hosts inocentes para roubar senhas e outras informações pessoais valiosas. Também existem rumores de que o Federal Bureau of Investigation (FBI) tem usado um keylogger chamado lanterna mágica.

Como o nome indica, spyware é um software furtivo projetado para monitorar e informar atividades de usuários para fins de aprendizagem de informações pessoais sem o conhecimento do usuário ou seu consentimento. Pesquisas descobriram que o spyware é muito prevalente em PCs caseiros, geralmente sem o conhecimento dos proprietários.

Adware são vistos por alguns como uma forma levemente censurável de spyware que espiona o comportamento de navegação na Web para direcionar os anúncios on-line para um usuário de interesses a parentes. Formas mais censuráveis? ?de spyware são mais invasivos na privacidade e podem levantar outras objeções relacionadas à instalação furtiva, a interferência com a navegação Web normal, e dificuldade de remoção.

O spyware pode ser instalado em uma série de maneiras furtivas: disfarçado como um cavalo de Tróia, que vem com um programa de software legítimo, entregues na carga útil de um worm ou vírus, ou baixado através do engano. Por exemplo, um site modificado, ou falso pode aparecer na janela que parece ser uma caixa de diálogo padrão do Windows, mas ao clicar em qualquer botão fará com que o spyware seja baixado. Por isso muitos navegadores possuem bloqueio de pop-ups.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *